Une vulnérabilité dans PayPal, un compte piraté en 30 secondes

5
97

Voila une information qui fait froid dans le dos. Une faille de sécurité dans les systèmes de PayPal permet d’obtenir le plein accès, sans aucune restriction, à n’importe quel compte dans les 30 secondes.

La vulnérabilité réside dans le fait que PayPal a oublié des fonctionnalités de récupération de mot de passe. Matt Langley de chez Integrated Computer Enterprises Limited explique :

PayPal envoie un jeton avec le courriel lors d’une demande de changement de mot de passe à une adresse e-mail autre que celle du compte (celle que le pirate souhaite, NDLR). Une fois que vous suivez le lien de l’e-mail, vous n’avez plus qu’à changer le mot de passe et vous obtenez un accès total au compte. Pas de piratage sophistiqué n’est nécessaire. Il s’agit d’un bug dans leur système de messagerie qui corrompt les adresses e-mails.

Une fois que l’attaquant a accès au compte, il n’y a rien qui restreint leur capacité à siphonner l’argent du compte.

L’exploit est, bien sûr, une violation directe de la politique de confidentialité de PayPal et d’une liste conséquente de lois, alors n’essayez pas ça chez vous. Espérons une correction rapide !

MISE A JOUR : Il y a du nouveau, la vulnérabilité communiquée par le chercheur a été démentie par PayPal. Plus d’infos sont à venir…

5 Commentaires

  1. Je ne comprend pas la vulnérabilité. Je m’explique:

    J’ai un compte paypal dont l’état est “Vérifié” et si je veux modifier mon mot de passe je dois entrer mon N° de carte bancaire ou répondre au 2 questions secrète.
    Avec un compte dont l’état est “Non vérifié”, il suffit d’entrer l’ancien mot de passe et d’entrer un nouveau ou de répondre aux questions secrète.

    Une fois le mot de passe modifié, je n’ai pas reçu d’email.

Les commentaires sont fermés.