lunes, abril 25, 2016

PayPal: Di adiós a tu dinero si te confundes con el e-mail

Tras publicar este jueves los fallos de privacidad y seguridad de Uber, en el que explicaba en un artículo que no se verifica la dirección de correo electrónico antes de crear una cuenta de Uber o de enviar información personal del uso de la cuenta, muchos se pusieron en contacto conmigo para contarme otro buen montón de servicios que no verifican la cuenta de correo electrónico antes de comenzar a usar el servicio o enviarte notificaciones con información confidencial. De todos ellos, el que más me sorprendió fue PayPal, un servicio que se promociona como muy seguro, y que cae en un fallo de seguridad tan simple y peligroso para el dueño de la cuenta como este.

Figura 1: PayPal. Di adiós a tu dinero si te confundes con el e-mail

Para comprobarlo le pedí a mi compañero Pablo que creara una cuenta en un minuto para ver si funcionaba de esa forma. decidimos crear una cuenta de PayPal asociada a una dirección de correo electrónico con una dirección que no tenemos y ver si podíamos utilizar esa cuenta de PayPal. Para ello, primero comprobamos que XXXX.rodriguez86@gmail.com es una cuenta que existe en Gmail. Como se puede ver en la siguiente imagen el servicio nos solicita la contraseña, por lo que podemos concluir que la cuenta existe.

Figura 2: Buscamos una cuenta que exista para la demo

Ahora vamos a PayPal y comprobamos los tipos de cuenta que existen a la hora de hacer una nueva. Elegimos la cuenta personal, que es rápida y gratuita. Una vez seleccionada el tipo de cuenta se nos solicitarán una serie de datos. Los datos que nos solicitan para crear una cuenta de PayPal y comenzar a usarla son: País, dirección de e-mail y la contraseña.

Figura 3: Tipos de cuenta en PayPal

Al contrario de lo que pasa con el e-mail, con la contraseña nos pide que la introduzcamos dos veces, para que no nos confundamos, es decir, por precaución para evitar el fallo. Sin embargo, y como se verá más delante, en el caso del e-mail es importante no equivocarse, ya que podríamos acabar creando una cuenta para otro usuario de nuestro proveedor de correo electrónico.

Figura 4: Se verifica la password, pero no la dirección de e-mail

Completamos el resto del registro con los datos más personales del usuario. Si nos fijamos, el número de teléfono móvil puede ser inventado también, no hay tampoco una comprobación de este número para poder comenzar a usar la cuenta. Es decir, no es necesario verificar ninguna información para comenzar a usar la cuenta de PayPal. Pero si te equivocas en el e-mail, la has liado gorda.

Figura 5: Completando la creación de la cuenta.
El número de teléfono no se verifica tampoco.

Una vez nos registramos en PayPal, podríamos esperar a tener que verificar el correo electrónico, pero si nos vamos al sitio web de PayPal podremos iniciar sesión sin ningún problema. Estamos utilizando el e-mail de un usuario de Gmail que no somos nosotros y lo tenemos vinculado a nuestra cuenta de PayPal, por lo que si el verdadero dueño, cuya dirección de e-mail es XXX.rodriguez86@gmail.com (que existe) puede robarnos la cuenta, ¿Cómo? Fácil, pidiendo recuperar la contraseña a través del correo electrónico.

Figura 6: Se puede iniciar sesión. La cuenta está funcionando.

Como se ve en la imagen siguiente podemos recuperar la contraseña a través de esa cuenta de correo electrónico.

Figura 7: Recuperación de cuenta por medio de correo electrónico

Al no haberse hecho una verificación del correo electrónico, el propietario real del correo podría quitarnos la cuenta simplemente restaurando la contraseña con el enlace que recibirá en su e-mail.

¿Y si hubiera puesto el número teléfono correcto?

Pues tu gozo en un pozo. En las opciones de recuperación de cuenta ves que hay una opción que dice "No me acuerdo de la dirección de e-mail" pero no, no sirve para que te manden un código OTP por SMS y solo te comprueban tres direcciones de correo electrónico que te puedan sonar.

Figura 8: Direcciones de e-mail para recuperar una dirección de e-mail

Y si has pesado que en la última opción de recuperación tal vez podrías recuperar la cuenta por medio de un SMS OTP, pues tampoco, PayPal vuelve a solicitar tres direcciones de correo electrónico para ver si alguna de ellas que ya tienes es la que asociaste a tu cuenta de PayPal. Así que, si te equivocas en el correo electrónico, comienzas a usar la cuenta, metes dinero en ella, puede que te quedes sin él, porque el dueño del correo electrónico de verdad podrá recuperar la cuenta y gastarse tu dinero.

Figura 9: Más direcciones de e-mail para recuperar contraseña o dirección de e-mail

Este fallo de no verificar la dirección de correo electrónico no se comete solo cuando se hace el registro de una cuenta, sino cuando se configura para recibir notificaciones. Cualquier sistema que envíe notificaciones con información confidencial - como sistemas bancarios, o aplicaciones con información personales - primero debería verificar que el dueño del correo es el usuario que es el dueño de la cuenta, y así evitar problemas de estos tipos.

Saludos Malignos!

18 comentarios:

Mirabal Mirabal dijo...

Vaya fail más grade de parte de Paypal, joder.

Orphus dijo...

ya bueno, yo creo que en el caso de paypal es la típica lucha de confort de los clientes vs seguridad. En este caso, creo que lo hacen con consciencia para evitar al usuario el paso de tener que confirmar el correo para dar una mayor "sencillez" a su servicio.

Metalheart dijo...

Uff, afortunadamente cree mi cuenta de PayPal correctamente o ya la hubiera liado y feo jajaja. Gracias por el aporte mi estimado Chema. Precaución para la próxima cuenta que llegue a crear.

Alberto P. dijo...

Hola, fui uno de los que comentó este fallo de PayPal.
Me ocurrió hace ya casi 9 meses, y por lo que veo no se han dignado a solucionarlo en todo este tiempo, a pesar de que lo reporté a PayPal hasta en 3 ocasiones por distintos medios. Esto es lo más lamentable en mi opinión, totalmente inaceptable en un servicio de este tipo.
A ver si dándole difusión recapacitan algún día.

Luis Alberto Gonzalez Alvarez dijo...

Cuando creas una cuenta de apple desde el movil para poder usar el iphone o el ipad para usarlo por primera vez con el dispositivo.en cuestion tampoco valida el email. Me a tocado ver personas que pierden el acceso a su dispositivo por escribir mal el dominio del correo por ejemplo gmal en lugar de gmail o incluso peores @algoalgoHotmail.com xD me a tocado comprar los dominios para poder recuperar sus dispositivos.

Heriberto Alor Tadeo dijo...

Yo concuerdo con lo que dice el usuario @Orphus, por que alla por el 2013 si te pedía verificar tu email, yo cree mi cuenta en el 2013 y tengo el correo todavía donde me pide activar la cuenta para poder usarla.

Juan Iglesias dijo...

Almenos los del banco santander de brasil tampoco lo confirman, me llegó el otro día un correo con todos los datos de uno de sus clientes... Se supone que los que trabajan con dinero deberian tener más cuidado, pero como si me da por entrar en la cuenta y hacerme una transferencia a lo bestia...

Fran ElInformatico dijo...
Este comentario ha sido eliminado por el autor.
Max dijo...

Una duda, ¿Y cuando añades una tarjeta o cuenta bancaria no te pide confirmación por mail ni nada tampoco?

Ernesto Jaboner dijo...

Increible que el negocio prevalezca antes que la seguridad. Pero es que la gente de negocio no sabe de princpios?

Teresa Sáez Cuenca dijo...

Vaya tela... Pues sí que es gordo, sí. Esperemos que lo arreglen en breve, porque tampoco es tan complicado de arreglar y si que puede dar muchos dolores de cabeza a más de uno.

Gracias por la info, Chema ;)

Lucio2602 dijo...

Hay un chaval brasileño que vive en EEUU que lleva un par de años usando mi dirección de correo para darse de alta en TODOS los servicios que se le ponen por delante (apple, playstation, voip, facebook, recuperación de otros gmail, apps tipo wassap, compras online de videojuegos, etc) y doy fé que en ninguno de ellos, excepto dos, le han pedido que confirme su dirección. Tengo acceso a toda su información personal y la de sus contactos, incluso un día pidió una pizza a domicilio con mi dirección y muchas otras cosas que os podeis imaginar. Como no quiero perjudicarlo en nada, con cada servicio nuevo que da de alta, lo único que hago es bloquear esa cuenta, como legítimo propietario de ese correo que soy, y que así no pueda usar mi dire en ese sitio otra vez. Si yo fuera una mala persona podría haberle hecho cualquier cosa, ya que tengo acceso a absolutamente toda la información personal de él que se puede tener. Pero por suerte usa mi dirección, y yo no le voy a molestar, y no la de alguien con intereses oscuros.

aarco dijo...

Yo soy uno de los que comentó el otro día este tema. A mí lo que me paso es que otra persona dio de alta una cuenta de Paypal con mi dirección de correo electrónico. Pero no es fácil acceder a ella, de hecho, yo no pude. En su día lo intenté porque me molestaba q me llegaran esos correos (previamente intenté solucionarlo hablando con la gente de Paypa, pero no hubo manera)

Al grano, lo que se explica en el artículo no es exactamente igual que lo q me pasó. Al intentar yo en su día cambiar la clave de la cuenta, me pedía los datos de una tarjeta de crédito que el otro usuario había dado de alta en el sistema, así que ahí terminó mi historia...

Maligno dijo...

@aarco, como te llegan los recibos, tendrás toda la info que necesitas recopilando los mensajes y contactando con los sitios de venta.

Saludos!

A2N n dijo...

Hola Chema, tengo un troyano en un celular y no me deja eliminarlo, me descarga apps k a la vez me descarga más virus, la he restaurado muchas veces y no consigo eliminarlo, ¿ como se eliminan los troyanos, los gusanos y todos esos virus?

aarco dijo...

@Maligno, via do me pasó, hace ya varios años, solo me llegaban Correos de Paypal. En esos correos no venia ningún dato (afortunadamente) de la tarjeta de crédito, por lo que llegue a un callejón sin salida. Habría que probar si a día de hoy siguen usando eso como 'segundo factor' a la hora de recuperar la clave. Yo estaba muy molesto, porque esa persona usaba mi correo, o tal vez no, porque como han comentado otros, era el caso de una cuenta de gmail con o sin punto (.)

Si recuerdo que esa persona se abrió una cuenta de Mojan (Minecraft) y ahí sí que pude hacerme con la cuenta pidiendo recuperar la clave. A partir de ahí nunca más supe de él....

Salu2

Yeray Ramos dijo...

Hola! buenas!!!
A mi me ha pasado algo asi.
Ayer me llego un correo como que me habia registrado en una cuenta ID de Apple con mi correo electronico, cuando no lo he hecho nunca ni tengo un telefono de Apple.
El caso es que he accedido a esa cuenta y he pedido restablecer la contraseña por correo electronico y ahora mismo tengo la cuenta de ese fulano ya que le he cambiado la contraseña.
Lo que me extraña es que apple le haya permitido registrarse sin haber verificado el correo.
Lo primero que he hecho ha sido cambiar mi contraseña de correos por si las moscas aunque sigue siendo la misma...
Un saludo.

vitox207 dijo...

Hola, yo compre un teléfono a un particular, y envié el dinero como protección al comprador..
el hombre recibió el dinero pero no podía sacarlo (porque tenia limitada su cuenta), entonces no me quería enviar el teléfono, entonces yo abrí una consulta para que me devuelvan el dinero, por la cual en 3 días me respondieron así:
(No podemos aceptar la reclamación ya que tenemos razones para pensar que está involucrado en una actividad que se encuentra restringida, tal y como se señala en el artículo 9.1 de nuestras Condiciones de uso).
y encima dos días después me envían esto:
Sentimos informarle de que estamos tomando medidas para suspender su cuenta PayPal, debido a cierta actividad que tenemos razones para pensar que ha tenido lugar en la misma. Esta medida se toma para evitar posibles pérdidas financieras.

La decisión de suspender su cuenta de forma gradual implica que debemos supervisar la gestión adecuada de los fondos que pueda tener en ella. Esto permite que tanto usted como nosotros pongamos fin a nuestra relación comercial asumiendo las responsabilidades que se puedan derivar...

En fin, que pierdo mi dinero que se queda el vendedor, ya que perdí la consulta, no se porque y creo que por abrir la consulta me suspenden la cuenta para siempre.. llame hasta 3 veces sin que me dijeran porque suspendieron mi cuenta, y encima me dijeron que ellos no pueden hacer nada para reembolsar el dinero, porque sino perdían dinero.
Entonces digo yo para que envió dinero con protección al comprador???
Me an dicho que lo que yo puedo hacer es denunciar a la persona y ya.
Si a alguien le paso, cuénteme si tuvo solución.
Y para acabar Cuidado con Paypal.. que en cualquier momento de limitan la cuenta y el dinero en él sin saber porque.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares