Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

PayPal corrige une faille de sécurité critique
Permettant de remplacer un compte par un autre

Le , par Stéphane le calme

0PARTAGES

4  0 
PayPal a corrigé une faille critique dans son système de sécurité permettant à un hacker de supprimer un compte et de le remplacer par un autre.
L’entreprise peut remercier le chercheur en sécurité Ionut Cernica qui a démontré en avril dernier que les possesseurs de compte PayPal américains pouvaient ajouter une seconde adresse mail sur le compte d’un tiers.

Une fois cette première opération effectuée, la suppression de l'adresse non-confirmée provoquait la suppression du compte explique le rapport de Cernica. « Après avoir supprimé le compte, vous pourrez alors en recréer un autre faisant usage du même pseudonyme avec le mot de passe de votre choix mais il sera vide et non confirmé » peut-on y lire.

Pour achever le statut de vérification de PayPal, il suffisait au hacker d’assigner un nouveau compte bancaire ou une nouvelle carte de crédit. Des personnes penseront alors peut-être envoyer de l'argent à une personne en particulier mais le destinataire sera différent du propriétaire initial du compte.

[ame="http://www.youtube.com/watch?v=tk9aMBpayS8"]Demo [/ame]

PayPal a reconnu la faille dans sa sécurité la semaine suivante. Un correctif final a été apporté cette semaine et Cernica a reçu 3 000 dollars pour sa découverte.

Source : rapport Cernica

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de diallomad
Membre averti https://www.developpez.com
Le 28/08/2013 à 1:37
Citation Envoyé par Stéphane le calme Voir le message

Cernica a reçu 3 000 dollars pour sa découverte.
3 000 dollars pour une faille critique sur un tel système financier? Paypal aurait dû mieux faire quand même
3  0 
Avatar de bigsister
Membre actif https://www.developpez.com
Le 29/08/2013 à 11:10
Effectivement, au-delà de la gravité de la faille c'est la petitesse du montant qui est choquante pour nous, développeurs... Ils auraient pu perdre des millions, sans compter la crise de confiance de leurs utilisateurs... et ils lui donne 3 cacahuètes...
1  0 
Avatar de andry.aime
Rédacteur/Modérateur https://www.developpez.com
Le 28/08/2013 à 6:26
Citation Envoyé par diallomad Voir le message
3 000 dollars pour une faille critique sur un tel système financier? Paypal aurait dû mieux faire quand même
C'est mieux que rien comme celui de facebook.
0  0 
Avatar de Jérôme_C
Membre averti https://www.developpez.com
Le 28/08/2013 à 10:20
Enfin, poster des messages sur le mur de quelqu'un d'autre, et voler le compte bancaire de quelqu'un, il y a une légère différence.

Certes pour certains la réputation numérique n'a pas de prix et vaut beaucoup plus que de l'argent, mais il ne faut pas exagérer.

En plus, ce n'est pas une faille de sécurité incompréhensible, ici tout le monde pouvait l'exploiter.
0  0