IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

PayPal : une faille dans le mécanisme permet de doubler le solde de son compte
D'après un chercheur en sécurité

Le , par Stéphane le calme

119PARTAGES

0  0 
Une faille dans PayPal, le service populaire de transfert sécurisé d’argent appartenant à eBay, permettrait aux utilisateurs de doubler voire tripler ou plus encore la somme dans leur compte.

C’est le chercheur Razvan Cernaianu, également connu sous le pseudonyme TinKode, qui a présenté cette faiblesse dans le mécanisme de PayPal en proposant un scénario dans lequel l’utilisateur se verrait bénéficier du double de ses avoirs initiaux. Trois comptes vérifiés Paypal sont nécessaires : le premier sera le compte légitime, le second fera office du vendeur légitime et le troisième servira de mule.

« Supposons par exemple que vous ayez 500 dollars sur votre compte. Vous allez transférer l’argent sur votre second compte, prétextant acheter un téléphone. A partir du second compte vous effectuerez un autre transfert vers le troisième compte prétextant que c’est un cadeau. Après 24 heures, utilisez la fonction d’opposition du premier compte (le vrai) pour récupérer votre argent en prétextant que le téléphone n’est pas arrivé à temps. PayPal va alors initialiser un processus pendant lequel les deux parties vont apporter des preuves pour se défendre. Bien évidemment, vous n’enverrez des preuves que pour défendre le premier compte afin de prouver que vous vous êtes fait arnaquer » a expliqué Cernaianu.


VCC = Virtual Credit Card, VBA = Virtual Bank Account

« A la fin du processus, l’argent sera restitué au compte principal et le second aura une balance négative de -500 dollars. De cette façon vous doublez votre montant initial parce que vous aurez toujours 500 dollars dans le troisième compte. Le second étant juste virtuel, il n’y aura pas d’argent que PayPal pourra récupérer. Aussi vous aurez 500 dollars restitué par PayPal d’un côté et 500 dollars sur le troisième compte » continue Cernaianu.

« Si nous considérons ceci sur une plus grande échelle avec 20 personnes par exemple, chacune recevant 500 dollars nous obtenons approximativement 10 000 dollars en 3 semaines » a précisé le chercheur.

Pour la petite histoire, Il a remarqué la faille lors d’une transaction via PayPal avec une personne qui a eu lieu en 2010 ; la personne ayant tenté de lui escroquer son argent en utilisant le même processus de rétro facturation. Comme il ne gardait pas son argent sur ce compte Paypal, il a décidé de transférer ses avoirs sur son compte principal (réel). Cependant, après avoir vérifié un mois plus tard, il a remarqué que le solde de son compte était négatif et il a commencé à se poser des questions.

Il a décidé de soumettre la faille à l’équipe de sécurité, espérant une récompense. Mais il lui a été fait savoir que cette découverte ne remplissait pas de critère d’éligibilité au programme de recherche des failles mais faisait plutôt partie de la politique de protection. « Bien que les abus décris ici sont possible dans notre système, le comportement abusif répété par le même compte(s) lié(s) est résolu » a indiqué PayPal,

A ce jour, Paypal revendique plus de 148 millions de comptes actifs dans 26 devises et dans 193 marchés, pour un traitement de plus de 9 millions de paiements par jour.

Source : blog Cernaianu

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de azmar
Membre averti https://www.developpez.com
Le 16/06/2014 à 14:52
Paypal fournis une assurance à ses clients (qui explique le remboursement même si le compte numéro 2 est vide). C'est simplement une arnaque à l'assurance, comme il en existe des milliers. Avec un point commun : Elle sont illégales

Azmar
6  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 18/06/2014 à 10:48
Citation Envoyé par Bilbaukai Voir le message
N'importe quoi.
Paypal ne rembourse pas l'acheteur si le compte du vendeur n'est pas provisionné. Ils vont pas sortir 500€ de leur poche faut pas rêver...
Bien sur que si, car sinon, il suffit au vendeur de remettre son compte a 0 immediatement après la transaction, et de ne pas envoyer le produit pour gagner plein d'argent.
2  0 
Avatar de azmar
Membre averti https://www.developpez.com
Le 16/06/2014 à 14:57
Il n'y a pas une erreur?

Si j'ai bien compris, seul le compte principal doit être vérifié, les autres ne doivent pas être liés à votre compte bancaire.
(sinon je pense que paypal récupère facilement son argent)
1  0 
Avatar de SylvainPV
Rédacteur/Modérateur https://www.developpez.com
Le 16/06/2014 à 17:37
Fantastique, un chercheur en sécurité informatique a découvert l'arnaque à l'assurance
2  1 
Avatar de stalacta
Membre averti https://www.developpez.com
Le 18/06/2014 à 16:00
PayPal risque de perdre beaucoup si tout le monde est au courant de la faille...
0  0 
Avatar de Darkzinus
Expert éminent sénior https://www.developpez.com
Le 19/06/2014 à 9:16
Citation Envoyé par stalacta Voir le message
PayPal risque de perdre beaucoup si tout le monde est au courant de la faille...
Sauf que dans ce cas, plus qu'une faille il s'agit d'une escroquerie. Le procédé est donc illégal.
0  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 19/06/2014 à 17:29
Il a décidé de soumettre la faille à l’équipe de sécurité, espérant une récompense. Mais il lui a été fait savoir que cette découverte ne remplissait pas de critère d’éligibilité au programme de recherche des failles mais faisait plutôt partie de la politique de protection. « Bien que les abus décris ici sont possible dans notre système, le comportement abusif répété par le même compte(s) lié(s) est résolu » a indiqué PayPal,

Trop bon... trop con...
0  0 
Avatar de stalacta
Membre averti https://www.developpez.com
Le 25/06/2014 à 15:30
Citation Envoyé par Darkzinus Voir le message
Sauf que dans ce cas, plus qu'une faille il s'agit d'une escroquerie. Le procédé est donc illégal.
Illégal ? Concrètement, il y a une loi qui empêche ça ? Je croyais que si un site permettait ce genre de choses, c'est qu'il était mal conçu et "tant pis pour lui". Paypal pourrait porter plainte, après est-ce qu'il obtiendra gain de cause....
0  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 25/06/2014 à 15:48
Citation Envoyé par stalacta Voir le message
Illégal ? Concrètement, il y a une loi qui empêche ça ? Je croyais que si un site permettait ce genre de choses, c'est qu'il était mal conçu et "tant pis pour lui". Paypal pourrait porter plainte, après est-ce qu'il obtiendra gain de cause....
C'est comme une arnaque à l'assurance, c'est bien illégal.

Je ne te citerai pas d'exemples d'arnaques à l'assurance, mais faire quelque chose en sachant que c'est illégal ne sera jamais considéré comme légal par un juge.
0  0 
Avatar de stalacta
Membre averti https://www.developpez.com
Le 25/06/2014 à 17:06
C'est vrai.
0  0