Por que o PayPal levou tanto tempo para corrigir essa falha é incompreensível a informação requerida para explorar a brecha já estava circulando na rede desde a semana passada e exigia uma necessidade urgente de tomada de ação por parte da companhia. Em casos similares, companhias afetadas tendem a responder em até 24 horas.
Outra fonte de irritação é que, mesmo tarde como terça-feira última, dia 28 de Maio de 2013, um porta-voz do PayPal informou a equipe do Heise Security que "até esse momento, não há indicação" de que os dados de clientes do PayPal estejam em risco - mesmo a equipe do Heise provando o contrário ao embarcar seu próprio formulário de login no site supostamente seguro via HTTPS do PayPal. Os atacantes com um mínimo de motivação criminal poderiam injetar uma página de phishing, que poderia ser idêntica a original.
A vulnerabilidade foi descoberta por Robert Kugler, um estudante de 17 anos que queria de início reportar a falha via sistema de premiação a caça de bugs que o PayPal lançou ano passado. Mas como a idade mínima para participação é de 18 anos, o estudante liberou as informações de forma pública na lista de e-mail sobre segurança Full Disclosure, mas apenas após ter dado ao PayPal um período de uma semana de graça, que a companhia deixou passar.
Kugler informou que recebeu outro e-mail do PayPal ontem, onde a companhia informava que: "a vulnerabilidade que você submeteu foi previamente reportada por outro pesquisador", o que sugere que a companhia conhecia o problema por mais de duas semanas antes da correção da falha. O PayPal ainda disse que esse era o motivo por não ter pago a Kugles, mas considerou enviar ao jovem uma "carta de reconhecimento" por sua investigação.
Saiba Mais:
- Heise Online: PayPal vulnerability finally closed (em Inglês)