Después de la casa de bugs en Paypal ha acabado con la publicación de un grave agujero de seguridad "Supuse que una empresa como Paypal iba a estar bien auditada (...) Estaba equivocado". Es un extracto del artículo con el que Neil Smith hace público un grave fallo de seguridad,
ya solucionado, en la empresa de transferencias. Se explica los problemas surgidos en todo el proceso del reporte de los bugs.
Hay un tipo de programas de recompensa de vulnerabilidades o "bug bounty" que se están imponiendo para controlar el tema de la publicación de vulnerabilidades en aplicaciones web o de escritorio. La empresa paga por los fallos encontrados, bajo unas condiciones determinadas, y por supuesto no se pueden hacer públicos.
Esto supone un beneficio para todos, pero se comenta que encontrar un fallo y no publicarlo no es muy responsable ya que los perjudicados son los usuarios. Mozilla, Google, Facebook, y desde hacer poco Paypal tienen este programa y el señor Neil Smith se enroló con este.
Este agujero de seguridad descubierto por Smith encdena varios fallos en los sistemas.
Shodan, un buscador
de sistemas expuestos en Internet, le mostró que los servidores de
staging de la "Administrative Tool" de Paypal son accesibles
públicamente. "Staging" es el estado de desarrollo de sitios web
inmediatamente anterior a producción. El entorno en el que se encuentran
estos sistemas debe parecerse lo máximo posible al que alcanzarán en
producción, y en ocasiones incluso acceden a réplicas de los datos
reales. A Smith no le pareció descabellado pensar que este fuera el
caso.
Las Administrative Tools de Paypal englobaban un conjunto de herramientas para vendedores que dan acceso a las transacciones realizadas (tanto pagos como ventas) para la elaboración de libros de cuentas y reconciliación financiera. Incluyen registros de transacciones, información extendida de cada una de estas, y diversas herramientas de notificación tanto para vendedores como clientes, además de información de la cuenta de Paypal. Actualmente, estas herramientas se ofrecen como productos separados dentro del apartado Reports and Information del x.commerce Paypal Development Network. Sin embargo, Smith no conocía esta información al descubrir los servidores. No sabía realmente a qué tenía acceso potencialmente.
Aunque Paypal comenta que ya han solucionado todas estas vulnerabilidades, puede que aun no sea del todo cierto y que falten cosas por solucionar.
No hay comentarios:
Publicar un comentario