Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

PayPal : une faille dans le mécanisme permet de doubler le solde de son compte
D'après un chercheur en sécurité

Le , par Stéphane le calme, Chroniqueur Actualités
Une faille dans PayPal, le service populaire de transfert sécurisé d’argent appartenant à eBay, permettrait aux utilisateurs de doubler voire tripler ou plus encore la somme dans leur compte.

C’est le chercheur Razvan Cernaianu, également connu sous le pseudonyme TinKode, qui a présenté cette faiblesse dans le mécanisme de PayPal en proposant un scénario dans lequel l’utilisateur se verrait bénéficier du double de ses avoirs initiaux. Trois comptes vérifiés Paypal sont nécessaires : le premier sera le compte légitime, le second fera office du vendeur légitime et le troisième servira de mule.

« Supposons par exemple que vous ayez 500 dollars sur votre compte. Vous allez transférer l’argent sur votre second compte, prétextant acheter un téléphone. A partir du second compte vous effectuerez un autre transfert vers le troisième compte prétextant que c’est un cadeau. Après 24 heures, utilisez la fonction d’opposition du premier compte (le vrai) pour récupérer votre argent en prétextant que le téléphone n’est pas arrivé à temps. PayPal va alors initialiser un processus pendant lequel les deux parties vont apporter des preuves pour se défendre. Bien évidemment, vous n’enverrez des preuves que pour défendre le premier compte afin de prouver que vous vous êtes fait arnaquer » a expliqué Cernaianu.


VCC = Virtual Credit Card, VBA = Virtual Bank Account

« A la fin du processus, l’argent sera restitué au compte principal et le second aura une balance négative de -500 dollars. De cette façon vous doublez votre montant initial parce que vous aurez toujours 500 dollars dans le troisième compte. Le second étant juste virtuel, il n’y aura pas d’argent que PayPal pourra récupérer. Aussi vous aurez 500 dollars restitué par PayPal d’un côté et 500 dollars sur le troisième compte » continue Cernaianu.

« Si nous considérons ceci sur une plus grande échelle avec 20 personnes par exemple, chacune recevant 500 dollars nous obtenons approximativement 10 000 dollars en 3 semaines » a précisé le chercheur.

Pour la petite histoire, Il a remarqué la faille lors d’une transaction via PayPal avec une personne qui a eu lieu en 2010 ; la personne ayant tenté de lui escroquer son argent en utilisant le même processus de rétro facturation. Comme il ne gardait pas son argent sur ce compte Paypal, il a décidé de transférer ses avoirs sur son compte principal (réel). Cependant, après avoir vérifié un mois plus tard, il a remarqué que le solde de son compte était négatif et il a commencé à se poser des questions.

Il a décidé de soumettre la faille à l’équipe de sécurité, espérant une récompense. Mais il lui a été fait savoir que cette découverte ne remplissait pas de critère d’éligibilité au programme de recherche des failles mais faisait plutôt partie de la politique de protection. « Bien que les abus décris ici sont possible dans notre système, le comportement abusif répété par le même compte(s) lié(s) est résolu » a indiqué PayPal,

A ce jour, Paypal revendique plus de 148 millions de comptes actifs dans 26 devises et dans 193 marchés, pour un traitement de plus de 9 millions de paiements par jour.

Source : blog Cernaianu

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de azmar azmar - Membre averti https://www.developpez.com
le 16/06/2014 à 14:52
Paypal fournis une assurance à ses clients (qui explique le remboursement même si le compte numéro 2 est vide). C'est simplement une arnaque à l'assurance, comme il en existe des milliers. Avec un point commun : Elle sont illégales

Azmar
Avatar de azmar azmar - Membre averti https://www.developpez.com
le 16/06/2014 à 14:57
Il n'y a pas une erreur?

Si j'ai bien compris, seul le compte principal doit être vérifié, les autres ne doivent pas être liés à votre compte bancaire.
(sinon je pense que paypal récupère facilement son argent)
Avatar de SylvainPV SylvainPV - Rédacteur/Modérateur https://www.developpez.com
le 16/06/2014 à 17:37
Fantastique, un chercheur en sécurité informatique a découvert l'arnaque à l'assurance
Avatar de Bilbaukai Bilbaukai - Nouveau Candidat au Club https://www.developpez.com
le 17/06/2014 à 8:36
N'importe quoi.
Paypal ne rembourse pas l'acheteur si le compte du vendeur n'est pas provisionné. Ils vont pas sortir 500€ de leur poche faut pas rêver...
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 18/06/2014 à 10:48
Citation Envoyé par Bilbaukai  Voir le message
N'importe quoi.
Paypal ne rembourse pas l'acheteur si le compte du vendeur n'est pas provisionné. Ils vont pas sortir 500€ de leur poche faut pas rêver...

Bien sur que si, car sinon, il suffit au vendeur de remettre son compte a 0 immediatement après la transaction, et de ne pas envoyer le produit pour gagner plein d'argent.
Avatar de stalacta stalacta - Membre averti https://www.developpez.com
le 18/06/2014 à 16:00
PayPal risque de perdre beaucoup si tout le monde est au courant de la faille...
Avatar de Darkzinus Darkzinus - Expert éminent https://www.developpez.com
le 19/06/2014 à 9:16
Citation Envoyé par stalacta  Voir le message
PayPal risque de perdre beaucoup si tout le monde est au courant de la faille...

Sauf que dans ce cas, plus qu'une faille il s'agit d'une escroquerie. Le procédé est donc illégal.
Avatar de Shuty Shuty - Membre éprouvé https://www.developpez.com
le 19/06/2014 à 17:29
Il a décidé de soumettre la faille à l’équipe de sécurité, espérant une récompense. Mais il lui a été fait savoir que cette découverte ne remplissait pas de critère d’éligibilité au programme de recherche des failles mais faisait plutôt partie de la politique de protection. « Bien que les abus décris ici sont possible dans notre système, le comportement abusif répété par le même compte(s) lié(s) est résolu » a indiqué PayPal,


Trop bon... trop con...
Avatar de stalacta stalacta - Membre averti https://www.developpez.com
le 25/06/2014 à 15:30
Citation Envoyé par Darkzinus  Voir le message
Sauf que dans ce cas, plus qu'une faille il s'agit d'une escroquerie. Le procédé est donc illégal.

Illégal ? Concrètement, il y a une loi qui empêche ça ? Je croyais que si un site permettait ce genre de choses, c'est qu'il était mal conçu et "tant pis pour lui". Paypal pourrait porter plainte, après est-ce qu'il obtiendra gain de cause....
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 25/06/2014 à 15:48
Citation Envoyé par stalacta  Voir le message
Illégal ? Concrètement, il y a une loi qui empêche ça ? Je croyais que si un site permettait ce genre de choses, c'est qu'il était mal conçu et "tant pis pour lui". Paypal pourrait porter plainte, après est-ce qu'il obtiendra gain de cause....

C'est comme une arnaque à l'assurance, c'est bien illégal.

Je ne te citerai pas d'exemples d'arnaques à l'assurance, mais faire quelque chose en sachant que c'est illégal ne sera jamais considéré comme légal par un juge.
Offres d'emploi IT
Développeur web (h/f)
Intersec SA - Ile de France - La Défense (92)
Consultant / expert produit h/f
Ivalua - Languedoc Roussillon - Montpellier (34000)
Chef de projet informatique java j2ee h/f
Crédit Agricole - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil