Paypal: Une faille permet de doubler le solde disponible

Razvan Cernaianu a décrit une méthode par laquelle les utilisateurs de Paypal pourraient doubler indéfiniment la somme d'argent liée à leur compte.

L'expert a Cyber Smart Defence TinKode a.k.a "Razvan Cernaianu" a revendiqué avoir trouvé une faille dans le service Paypal, pour la précision c'est via son Processus de Rétrofacturation, qu'elle pourrait être exploité par un mauvais acteur pour augmenter son solde de façon frauduleuse

"Aux lignes suivantes je vous expliquerai une méthode par laquelle vous pouvez doubler l'argent indéfiniment dans votre PayPal estime … Vous croyez probablement que j'ai trouvé une vulnérabilité Web en quelque sorte. Malheureusement, c'est quelque chose de beaucoup plus mauvais. Pour être plus exact : c'est un problème avec leur TOS." A écrit TinKode

Retour en 2010:

TinKod a remarqué un comportement anomal en faisant une transaction en utilisant PayPal, il a expliqué qu'une personne essayait de l'arnaquer avec son argent utilisant le même processus de rétrofacturation.

Une fois remarqué la tentative d'escroquerie et pour éviter de payer des frais, il a transféré tout son argent de son compte temporaire à son autre, compte PayPal réel. Mais, quand il a vérifié après un mois, il a remarqué que le solde de son compte est négatif, c’est-à-dire à 50 dollars.

"Une Rétrofacturation, aussi connue comme une opposition de transaction, cela arrive quand un acheteur demande à une entreprise de carte de crédit de revenir en arrière sur une transaction qui a déjà été approuvé" Une telle demande peut être réalisée lorsqu’un numéro de carte de crédit utilisé a été piraté et utilisé frauduleusement par exemple ou si le vendeur s'essaye à la fraude. "A dit TinKode.

TinKode a démontré à l'équipe de sécurité de PayPal la présence d'une faille dans leur service qui permet à n'importe quel utilisateur de doubler indéfiniment le montant du solde. Après avoir fournie comme preuve la description du concept en utilisant trois PayPal séparés un avec une vrai carte un autre avec Carte de crédit Virtuelle vérifiée utilisable (VCC) plus le Compte bancaire Virtuel (VBA).

Sénario:

"Si par exemple, vous avez 500$ sur votre compte. Vous transférez l'argent au deuxième compte avec comme prétexte l'achat d'un téléphone, puis du deuxième compte vous transférez de nouveau l'argent au troisième compte comme un cadeau.

Après 24 heures, utilisez la fonction de rétrofacturation du premier compte (le vrai) pour obtenir le remboursement, avec l'excuse que le téléphone n'est pas arrivé à temps.

Alors PayPal amorcera un processus où les deux côtés apportent la preuve pour leur défense. Évidemment vous enverrez seulement la preuve du premier compte montrant que vous avez été arnaqués. À la fin du procèssus l'argent sera recrédité au compte principal et le deuxième compte aura un solde négatif de-500$.

C'est de cette façon que vous avez doublé la somme d'argent initiale parce que vous avez toujours les 500$ dans le troisième compte.

TinKode a rapporté l'escroquerie à l'équipe de Sécurité de PayPal pour la prime de bug, mais l'entreprise malgré avoir admis un défaut dans leurs Mandats de service (ToS), ne l'a pas reconnu comme une vulnérabilité de l'application.

"Même si l'abus décrit ici est possible dans notre système, le comportement abusif répétées par un même et / ou compte liées (s) est adressée." a répondu PayPal

Il est absurde avoir exclu TinKode de la prime de bug, s'il vous plaît ne pas reproduire ce truc parce qu'il est illicite et PayPal pourrait interdire votre compte de manière permanente.

Source: securityaffairs via cybersmartdefence