PayPal : Un pirate astucieux double la somme d’argent de son compte !

6
182

TinKode, le fameux pirate informatique roumain n’en est pas à son coup d’essai. Après ses intrusions au sein des serveurs de la NASA, d’Oracle, du Pentagone et de l’Armée Américaine, voila qu’il s’attaque à PayPal. Il aurait trouvé une astuce permettant de doubler l’argent sur son compte.

D’après les faits parus sur The Hacker News, il a découvert un “bug” dans PayPal qui permet à n’importe qui de doubler l’argent présent sur le compte, grâce à une faille dans le système de “chargeback” de PayPal.

En résumé, imaginez que vous ayez 500 euros sur votre compte. Vous transférez l’argent sur un second compte (anonyme) comme si vous achetiez quelque chose puis à partir de ce dernier, puis vous transférez de nouveau l’argent sur un 3e compte comme si vous envoyiez de l’argent à de la famille pour ne pas avoir de frais.

paypal-envoi-famille-argent

Après 24h, à partir du premier compte, utilisez la fonctionnalité qui permet de se faire rembourser pour récupérer votre argent, en donnant comme explication que votre “objet” imaginaire n’est pas arrivé à temps. Notez que les comptes 2 et 3 sont des comptes vérifiés avec des cartes bancaires virtuelles. Le compte n°1 est votre vrai compte vérifié avec vos vraies coordonnées bancaires.

PayPal va alors engager un processus de médiation entre vous-même et vous-même, c’est à dire entre le compte 1 et le compte 2. À la fin, le premier compte aura récupéré ses 500 €, et le second compte sera en balance négative de – 500 €. Comme le second compte ne dispose pas de véritable argent que PayPal peut récupérer, ça passe en perte pour eux (même s’il y a toujours le risque ensuite d’avoir à faire à des huissiers) et au final, le pirate se retrouve avec 500 € sur le compte n°1 et 500 € sur le compte n°3… Soit 1000 euros au total. Mise doublée, objectif atteint !

paypal-hacking

TinKode a prévenu PayPal de cette faille, mais ces derniers lui ont expliqué qu’il s’agissait d’une faille dans leurs Conditions Générales d’Utilisation et pas dans l’application en elle-même. TinKode ne recevra donc pas la récompense “Bug Bounty” pour avoir découvert cette faille. A noter que cette fraude est connue depuis longtemps des cybercriminels qui jouent avec PayPal et escroquent les gens notamment sur eBay mais c’est plutôt pas mal que TinKode la révèle au grand jour. De son côté, PayPal a réagi en expliquant que les comptes incriminés risquent d’être blacklistés… ce qui n’est pas vraiment une solution en soit puisqu’ils pourront toujours recommencer.

Dans tous les cas, la manipulation est totalement illégale et il est vraiment déconseillé de tenter ! Vous risquez gros.

 

Sources : The Hacker News, Korben

6 Commentaires

  1. « … n’en ai pas à son coup d’essai. »

    Du verbe avoir, comme chacun sait.

    «… cette fraude est connue, depuis longtemps des cybercriminels… »

    À quoi sert cette virgule ?

Les commentaires sont fermés.