PayPal corrige une faille de sécurité critique au sein des comptes

PayPal vient de corriger une faille de sécurité critique qui permettait à un attaquant de supprimer n’importe quel compte client à volonté et de le remplacer par le sien.

En avril, le chercheur en sécurité Ionut Cernica découvre que les titulaires de comptes PayPal américains peuvent ajouter une adresse e-mail dans le compte de quelqu’un d’autre en visitant un site web PayPal contenant une vulnérabilité. Cela laisse ensuite la possibilité de supprimer le compte visé. Une vidéo de démonstration en live a d’ailleurs été diffusée :

[youtube tk9aMBpayS8 nolink]

De plus, de multiples autres vulnérabilités sont reportées dans la foulée, comme le montre ce document dédié à l’équipe de sécurité de PayPal.

“Après avoir ajouté un e-mail existant à votre compte, si vous allez sur le profil du compte et que vous supprimez le courriel non confirmé, le compte d’origine sera supprimé aussi. Après avoir supprimé le compte, vous pouvez en créer un autre avec le même identifiant et avec le mot de passe que vous souhaitz, mais vous n’aurez pas d’argent et il ne sera pas confirmé“, déclare Cernica dans son rapport.

Afin d’obtenir le statut vérifié chez PayPal, l’attaquant aurait tout simplement besoin d’affecter un compte bancaire ou une carte de crédit au nom d’utilisateur de remplacement et de passer par la procédure d’accréditation standard. Si l’escroquerie n’a pas été repéré rapidement, les fonds pourraient alors être siphonné dès qu’ils y aurait eu une rentrée d’argent, et ce, sans que le client légitime en soit informé ou qu’il puisse tenter la moindre chose afin d’avoir un accès à ce dernier.

Selon le rapport, PayPal a reconnu la faille une semaine plus tard et, en mai, Cernica a déclaré qu’un correctif avait été publié. Mais le chercheur a déclaré que le tour de passe-passe était encore possible. Le patch final a été publié cette semaine par PayPal, et Cernica a reçu sa prime pour le rapport de bug connu sous le nom de PayPal Bug Bounty Program Reward.