PayPal corrige une faille de sécurité critique
Permettant de remplacer un compte par un autre

Le , par Stéphane le calme, Chroniqueur Actualités
PayPal a corrigé une faille critique dans son système de sécurité permettant à un hacker de supprimer un compte et de le remplacer par un autre.
L’entreprise peut remercier le chercheur en sécurité Ionut Cernica qui a démontré en avril dernier que les possesseurs de compte PayPal américains pouvaient ajouter une seconde adresse mail sur le compte d’un tiers.

Une fois cette première opération effectuée, la suppression de l'adresse non-confirmée provoquait la suppression du compte explique le rapport de Cernica. « Après avoir supprimé le compte, vous pourrez alors en recréer un autre faisant usage du même pseudonyme avec le mot de passe de votre choix mais il sera vide et non confirmé » peut-on y lire.

Pour achever le statut de vérification de PayPal, il suffisait au hacker d’assigner un nouveau compte bancaire ou une nouvelle carte de crédit. Des personnes penseront alors peut-être envoyer de l'argent à une personne en particulier mais le destinataire sera différent du propriétaire initial du compte.

[ame="http://www.youtube.com/watch?v=tk9aMBpayS8"]Demo [/ame]

PayPal a reconnu la faille dans sa sécurité la semaine suivante. Un correctif final a été apporté cette semaine et Cernica a reçu 3 000 dollars pour sa découverte.

Source : rapport Cernica

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de diallomad diallomad - Membre averti https://www.developpez.com
le 28/08/2013 à 1:37
Citation Envoyé par Stéphane le calme  Voir le message
Cernica a reçu 3 000 dollars pour sa découverte.

3 000 dollars pour une faille critique sur un tel système financier? Paypal aurait dû mieux faire quand même
Avatar de andry.aime andry.aime - Rédacteur/Modérateur https://www.developpez.com
le 28/08/2013 à 6:26
Citation Envoyé par diallomad  Voir le message
3 000 dollars pour une faille critique sur un tel système financier? Paypal aurait dû mieux faire quand même

C'est mieux que rien comme celui de facebook.
Avatar de Jérôme_C Jérôme_C - Membre averti https://www.developpez.com
le 28/08/2013 à 10:20
Enfin, poster des messages sur le mur de quelqu'un d'autre, et voler le compte bancaire de quelqu'un, il y a une légère différence.

Certes pour certains la réputation numérique n'a pas de prix et vaut beaucoup plus que de l'argent, mais il ne faut pas exagérer.

En plus, ce n'est pas une faille de sécurité incompréhensible, ici tout le monde pouvait l'exploiter.
Avatar de bigsister bigsister - Membre actif https://www.developpez.com
le 29/08/2013 à 11:10
Effectivement, au-delà de la gravité de la faille c'est la petitesse du montant qui est choquante pour nous, développeurs... Ils auraient pu perdre des millions, sans compter la crise de confiance de leurs utilisateurs... et ils lui donne 3 cacahuètes...
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil