L’entreprise peut remercier le chercheur en sécurité Ionut Cernica qui a démontré en avril dernier que les possesseurs de compte PayPal américains pouvaient ajouter une seconde adresse mail sur le compte d’un tiers.
Une fois cette première opération effectuée, la suppression de l'adresse non-confirmée provoquait la suppression du compte explique le rapport de Cernica. « Après avoir supprimé le compte, vous pourrez alors en recréer un autre faisant usage du même pseudonyme avec le mot de passe de votre choix mais il sera vide et non confirmé » peut-on y lire.
Pour achever le statut de vérification de PayPal, il suffisait au hacker d’assigner un nouveau compte bancaire ou une nouvelle carte de crédit. Des personnes penseront alors peut-être envoyer de l'argent à une personne en particulier mais le destinataire sera différent du propriétaire initial du compte.
[ame="http://www.youtube.com/watch?v=tk9aMBpayS8"]Demo [/ame]
PayPal a reconnu la faille dans sa sécurité la semaine suivante. Un correctif final a été apporté cette semaine et Cernica a reçu 3 000 dollars pour sa découverte.
Source : rapport Cernica
Et vous ?
Qu'en pensez-vous ?