🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Ce bug dans PayPal permet à un hacker de manipuler les transactions

24 mai 2022 à 17h55
5
PayPal

Une faille de sécurité permet à des pirates de siphonner le compte PayPal des utilisateurs. Un seul clic, en apparence anodin, est requis pour autoriser un paiement non désiré.

Un chercheur en sécurité connu sous le nom de code de h4x0r_dz a découvert une vulnérabilité dans le service de transfert d'argent de PayPal.

Un simple clic mal visé peut déclencher un paiement

Selon lui, la faille de sécurité peut permettre à des pirates de recourir à une technique de clickjacking (détournement de clic) afin de détourner la vigilance de l'utilisateur. Celle-ci consiste à afficher un élément d'interface qui semble légitime dans une page web et qui incite à cliquer, comme une croix pour fermer une fenêtre par exemple. Superposer un bouton renvoyant vers un site malveillant sur un composant d'UI fiable est aussi un moyen de tromper les utilisateurs.

Dans le cas rendu public par h4x0r_dz, la victime peut autoriser un paiement en un seul clic malencontreux. Sur la page www.paypal.com/agreements/approve, qui fait figure de point de terminaison et a pour but d'obtenir les accords de facturation, seul le jeton billingAgreementToken devrait être accepté. Mais en réalité, un autre type de token peut être soumis, rendant possible le clickjacking.

PayPal n'aurait toujours pas corrigé la faille de sécurité

La vulnérabilité peut notamment être exploitée lorsque l'on veut effectuer un paiement sur un site tiers qui accepte PayPal comme moyen de transaction et renvoie donc vers la plateforme via un jeton d'authentification. Le danger existe aussi si vous êtes sur un navigateur web sur lequel vous être déjà connecté à votre compte PayPal.

L'expert en cybersécurité explique qu'il peut très bien exploiter cette faille de sécurité pour transférer de l'argent sur son propre compte PayPal, ou pour créer un compte Netflix en faisant payer une victime du piratage.

Il assure avoir contacté PayPal pour les prévenir de l'existence de cette vulnérabilité en octobre 2021, mais qu'elle n'a depuis ce temps toujours pas été comblée.

Source : The Hacker News

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
norwy
Bon, ce n’est pas tout le monde qui se fera avoir mais bon…<br /> Et pendant ce temps-là, que fait Paypal ???
Bombing_Basta
Et pendant ce temps-là, que fait Paypal ???<br /> Bah, ils encaissent les commissions pardi !
Senka
L’activation de la double authentification pour les paiements ne permettrait-elle pas de se prémunir de ce genre de fraude ?
ChezDebarras
Si je comprends bien, il faudra que le site marchand puisse afficher un lien frauduleux, qui contient un autre jeton que le jeton attendu ?<br /> Ca signifie donc que le site marchand est, soit malhonnête, soit victime d’un piratage interne.<br /> Cela étant dit, pas besoin d’attendre un piratage de site marchand : paypal propose déjà ce type de facilité en proposant aux sites marchands la fonction de prélèvement automatique : en clair (exemple aliexpress !) un site marchand peut, lors d’une première transaction paypal, activer cette fonction de prélèvement automatique. La victime…heu le client s’authentifie en toute confiance (mot de passe ou 2 facteurs) sur paypal, voit un truc bizarre « choisissez votre banque par défaut », puis procède au paiement.<br /> Plus tard, sur le même site marchand il va voir que cette fois, en choisissant paypal il n’aura même pas besoin de s’authentifier. Et c’est là qu’il découvre la notion de prélèvement automatique. Et qu’il se rend compte que le site marchand peut lui prélever à n’importe quel moment.
chris06
oui mais il n’y a pas si longtemps que cela que PayPal fait la double authentification , mais j’ai déjà fait des paiements d’achats et PayPal a accepté sans faire la double authentification notamment sur Amazon .
Voir tous les messages sur le forum

Lectures liées

Ce nouveau malware s'en prend aux YouTubeurs
Pour les soldes, NordVPN sort le grand jeu avec son offre VPN à prix cassé !
Un autre service VPN quitte l'Inde pour échapper aux nouvelles régulations
Ameli : une campagne de phishing continue sur le site de l’assurance maladie, êtes-vous concerné ?
CyberGhost propose un prix délirant sur son VPN pour les soldes !
Ce VPN propose désormais des serveurs à 10Gb/s pour des connexions plus rapides et plus stables
Soldes NordVPN : cette offre sur ce VPN est tout simplement incroyable !
Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Haut de page