C’est le chercheur Razvan Cernaianu, également connu sous le pseudonyme TinKode, qui a présenté cette faiblesse dans le mécanisme de PayPal en proposant un scénario dans lequel l’utilisateur se verrait bénéficier du double de ses avoirs initiaux. Trois comptes vérifiés Paypal sont nécessaires : le premier sera le compte légitime, le second fera office du vendeur légitime et le troisième servira de mule.
« Supposons par exemple que vous ayez 500 dollars sur votre compte. Vous allez transférer l’argent sur votre second compte, prétextant acheter un téléphone. A partir du second compte vous effectuerez un autre transfert vers le troisième compte prétextant que c’est un cadeau. Après 24 heures, utilisez la fonction d’opposition du premier compte (le vrai) pour récupérer votre argent en prétextant que le téléphone n’est pas arrivé à temps. PayPal va alors initialiser un processus pendant lequel les deux parties vont apporter des preuves pour se défendre. Bien évidemment, vous n’enverrez des preuves que pour défendre le premier compte afin de prouver que vous vous êtes fait arnaquer » a expliqué Cernaianu.
VCC = Virtual Credit Card, VBA = Virtual Bank Account
« A la fin du processus, l’argent sera restitué au compte principal et le second aura une balance négative de -500 dollars. De cette façon vous doublez votre montant initial parce que vous aurez toujours 500 dollars dans le troisième compte. Le second étant juste virtuel, il n’y aura pas d’argent que PayPal pourra récupérer. Aussi vous aurez 500 dollars restitué par PayPal d’un côté et 500 dollars sur le troisième compte » continue Cernaianu.
« Si nous considérons ceci sur une plus grande échelle avec 20 personnes par exemple, chacune recevant 500 dollars nous obtenons approximativement 10 000 dollars en 3 semaines » a précisé le chercheur.
Pour la petite histoire, Il a remarqué la faille lors d’une transaction via PayPal avec une personne qui a eu lieu en 2010 ; la personne ayant tenté de lui escroquer son argent en utilisant le même processus de rétro facturation. Comme il ne gardait pas son argent sur ce compte Paypal, il a décidé de transférer ses avoirs sur son compte principal (réel). Cependant, après avoir vérifié un mois plus tard, il a remarqué que le solde de son compte était négatif et il a commencé à se poser des questions.
Il a décidé de soumettre la faille à l’équipe de sécurité, espérant une récompense. Mais il lui a été fait savoir que cette découverte ne remplissait pas de critère d’éligibilité au programme de recherche des failles mais faisait plutôt partie de la politique de protection. « Bien que les abus décris ici sont possible dans notre système, le comportement abusif répété par le même compte(s) lié(s) est résolu » a indiqué PayPal,
A ce jour, Paypal revendique plus de 148 millions de comptes actifs dans 26 devises et dans 193 marchés, pour un traitement de plus de 9 millions de paiements par jour.
Source : blog Cernaianu
Et vous ?
Qu'en pensez-vous ?