PayPal corrige une faille de sécurité critique
Permettant de remplacer un compte par un autre
Le 2013-08-27 22:00:47, par Stéphane le calme, Chroniqueur Actualités
PayPal a corrigé une faille critique dans son système de sécurité permettant à un hacker de supprimer un compte et de le remplacer par un autre.
L’entreprise peut remercier le chercheur en sécurité Ionut Cernica qui a démontré en avril dernier que les possesseurs de compte PayPal américains pouvaient ajouter une seconde adresse mail sur le compte d’un tiers.
Une fois cette première opération effectuée, la suppression de l'adresse non-confirmée provoquait la suppression du compte explique le rapport de Cernica. « Après avoir supprimé le compte, vous pourrez alors en recréer un autre faisant usage du même pseudonyme avec le mot de passe de votre choix mais il sera vide et non confirmé » peut-on y lire.
Pour achever le statut de vérification de PayPal, il suffisait au hacker d’assigner un nouveau compte bancaire ou une nouvelle carte de crédit. Des personnes penseront alors peut-être envoyer de l'argent à une personne en particulier mais le destinataire sera différent du propriétaire initial du compte.
PayPal a reconnu la faille dans sa sécurité la semaine suivante. Un correctif final a été apporté cette semaine et Cernica a reçu 3 000 dollars pour sa découverte.
Source : rapport Cernica
Et vous ?
L’entreprise peut remercier le chercheur en sécurité Ionut Cernica qui a démontré en avril dernier que les possesseurs de compte PayPal américains pouvaient ajouter une seconde adresse mail sur le compte d’un tiers.
Une fois cette première opération effectuée, la suppression de l'adresse non-confirmée provoquait la suppression du compte explique le rapport de Cernica. « Après avoir supprimé le compte, vous pourrez alors en recréer un autre faisant usage du même pseudonyme avec le mot de passe de votre choix mais il sera vide et non confirmé » peut-on y lire.
Pour achever le statut de vérification de PayPal, il suffisait au hacker d’assigner un nouveau compte bancaire ou une nouvelle carte de crédit. Des personnes penseront alors peut-être envoyer de l'argent à une personne en particulier mais le destinataire sera différent du propriétaire initial du compte.
[ame="http://www.youtube.com/watch?v=tk9aMBpayS8"]Demo [/ame]
PayPal a reconnu la faille dans sa sécurité la semaine suivante. Un correctif final a été apporté cette semaine et Cernica a reçu 3 000 dollars pour sa découverte.
Source : rapport Cernica
Et vous ?
-
diallomadMembre averti3 000 dollars pour une faille critique sur un tel système financier? Paypal aurait dû mieux faire quand mêmele 28/08/2013 à 1:37
-
bigsisterMembre actifEffectivement, au-delà de la gravité de la faille c'est la petitesse du montant qui est choquante pour nous, développeurs... Ils auraient pu perdre des millions, sans compter la crise de confiance de leurs utilisateurs... et ils lui donne 3 cacahuètes...le 29/08/2013 à 11:10
-
andry.aimeRédacteur/Modérateurle 28/08/2013 à 6:26
-
Jérôme_CMembre avertiEnfin, poster des messages sur le mur de quelqu'un d'autre, et voler le compte bancaire de quelqu'un, il y a une légère différence.
Certes pour certains la réputation numérique n'a pas de prix et vaut beaucoup plus que de l'argent, mais il ne faut pas exagérer.
En plus, ce n'est pas une faille de sécurité incompréhensible, ici tout le monde pouvait l'exploiter.le 28/08/2013 à 10:20