IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

PayPal : une faille dans le mécanisme permet de doubler le solde de son compte

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 389
    Points : 154 995
    Points
    154 995
    Par défaut PayPal : une faille dans le mécanisme permet de doubler le solde de son compte
    PayPal : une faille dans le mécanisme permet de doubler le solde de son compte,
    d'après un chercheur en sécurité

    Une faille dans PayPal, le service populaire de transfert sécurisé d’argent appartenant à eBay, permettrait aux utilisateurs de doubler voire tripler ou plus encore la somme dans leur compte.

    C’est le chercheur Razvan Cernaianu, également connu sous le pseudonyme TinKode, qui a présenté cette faiblesse dans le mécanisme de PayPal en proposant un scénario dans lequel l’utilisateur se verrait bénéficier du double de ses avoirs initiaux. Trois comptes vérifiés Paypal sont nécessaires : le premier sera le compte légitime, le second fera office du vendeur légitime et le troisième servira de mule.

    « Supposons par exemple que vous ayez 500 dollars sur votre compte. Vous allez transférer l’argent sur votre second compte, prétextant acheter un téléphone. A partir du second compte vous effectuerez un autre transfert vers le troisième compte prétextant que c’est un cadeau. Après 24 heures, utilisez la fonction d’opposition du premier compte (le vrai) pour récupérer votre argent en prétextant que le téléphone n’est pas arrivé à temps. PayPal va alors initialiser un processus pendant lequel les deux parties vont apporter des preuves pour se défendre. Bien évidemment, vous n’enverrez des preuves que pour défendre le premier compte afin de prouver que vous vous êtes fait arnaquer » a expliqué Cernaianu.


    VCC = Virtual Credit Card, VBA = Virtual Bank Account

    « A la fin du processus, l’argent sera restitué au compte principal et le second aura une balance négative de -500 dollars. De cette façon vous doublez votre montant initial parce que vous aurez toujours 500 dollars dans le troisième compte. Le second étant juste virtuel, il n’y aura pas d’argent que PayPal pourra récupérer. Aussi vous aurez 500 dollars restitué par PayPal d’un côté et 500 dollars sur le troisième compte » continue Cernaianu.

    « Si nous considérons ceci sur une plus grande échelle avec 20 personnes par exemple, chacune recevant 500 dollars nous obtenons approximativement 10 000 dollars en 3 semaines » a précisé le chercheur.

    Pour la petite histoire, Il a remarqué la faille lors d’une transaction via PayPal avec une personne qui a eu lieu en 2010 ; la personne ayant tenté de lui escroquer son argent en utilisant le même processus de rétro facturation. Comme il ne gardait pas son argent sur ce compte Paypal, il a décidé de transférer ses avoirs sur son compte principal (réel). Cependant, après avoir vérifié un mois plus tard, il a remarqué que le solde de son compte était négatif et il a commencé à se poser des questions.

    Il a décidé de soumettre la faille à l’équipe de sécurité, espérant une récompense. Mais il lui a été fait savoir que cette découverte ne remplissait pas de critère d’éligibilité au programme de recherche des failles mais faisait plutôt partie de la politique de protection. « Bien que les abus décris ici sont possible dans notre système, le comportement abusif répété par le même compte(s) lié(s) est résolu » a indiqué PayPal,

    A ce jour, Paypal revendique plus de 148 millions de comptes actifs dans 26 devises et dans 193 marchés, pour un traitement de plus de 9 millions de paiements par jour.

    Source : blog Cernaianu

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Homme Profil pro
    Inscrit en
    novembre 2012
    Messages
    130
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : novembre 2012
    Messages : 130
    Points : 379
    Points
    379
    Par défaut
    Paypal fournis une assurance à ses clients (qui explique le remboursement même si le compte numéro 2 est vide). C'est simplement une arnaque à l'assurance, comme il en existe des milliers. Avec un point commun : Elle sont illégales

    Azmar

  3. #3
    Membre averti
    Homme Profil pro
    Inscrit en
    novembre 2012
    Messages
    130
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : novembre 2012
    Messages : 130
    Points : 379
    Points
    379
    Par défaut
    Il n'y a pas une erreur?

    Si j'ai bien compris, seul le compte principal doit être vérifié, les autres ne doivent pas être liés à votre compte bancaire.
    (sinon je pense que paypal récupère facilement son argent)

  4. #4
    Rédacteur/Modérateur

    Avatar de SylvainPV
    Profil pro
    Inscrit en
    novembre 2012
    Messages
    3 299
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2012
    Messages : 3 299
    Points : 9 689
    Points
    9 689
    Par défaut
    Fantastique, un chercheur en sécurité informatique a découvert l'arnaque à l'assurance
    One Web to rule them all

  5. #5
    Nouveau Candidat au Club
    Profil pro
    Développeur Web
    Inscrit en
    juin 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2013
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    N'importe quoi.
    Paypal ne rembourse pas l'acheteur si le compte du vendeur n'est pas provisionné. Ils vont pas sortir 500€ de leur poche faut pas rêver...

  6. #6
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 985
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 985
    Points : 27 279
    Points
    27 279
    Par défaut
    Citation Envoyé par Bilbaukai Voir le message
    N'importe quoi.
    Paypal ne rembourse pas l'acheteur si le compte du vendeur n'est pas provisionné. Ils vont pas sortir 500€ de leur poche faut pas rêver...
    Bien sur que si, car sinon, il suffit au vendeur de remettre son compte a 0 immediatement après la transaction, et de ne pas envoyer le produit pour gagner plein d'argent.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  7. #7
    Membre averti
    Homme Profil pro
    Développeur en formation
    Inscrit en
    juillet 2013
    Messages
    300
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur en formation
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2013
    Messages : 300
    Points : 409
    Points
    409
    Par défaut
    PayPal risque de perdre beaucoup si tout le monde est au courant de la faille...
    Bouddha : Tout n'est qu'illusion en ce bas monde.
    Jésus : Tout est amour divin.
    Einstein : Tout est relatif dans cet espace-temps.
    Moi : Tout est binaire sur ce forum.

  8. #8
    Expert éminent sénior
    Homme Profil pro
    Ingénieur d'Etude Mainframe/AS400
    Inscrit en
    novembre 2012
    Messages
    1 632
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur d'Etude Mainframe/AS400
    Secteur : Finance

    Informations forums :
    Inscription : novembre 2012
    Messages : 1 632
    Points : 10 082
    Points
    10 082
    Par défaut
    Citation Envoyé par stalacta Voir le message
    PayPal risque de perdre beaucoup si tout le monde est au courant de la faille...
    Sauf que dans ce cas, plus qu'une faille il s'agit d'une escroquerie. Le procédé est donc illégal.

  9. #9
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 172
    Points
    1 172
    Par défaut
    Il a décidé de soumettre la faille à l’équipe de sécurité, espérant une récompense. Mais il lui a été fait savoir que cette découverte ne remplissait pas de critère d’éligibilité au programme de recherche des failles mais faisait plutôt partie de la politique de protection. « Bien que les abus décris ici sont possible dans notre système, le comportement abusif répété par le même compte(s) lié(s) est résolu » a indiqué PayPal,

    Trop bon... trop con...
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  10. #10
    Membre averti
    Homme Profil pro
    Développeur en formation
    Inscrit en
    juillet 2013
    Messages
    300
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur en formation
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2013
    Messages : 300
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par Darkzinus Voir le message
    Sauf que dans ce cas, plus qu'une faille il s'agit d'une escroquerie. Le procédé est donc illégal.
    Illégal ? Concrètement, il y a une loi qui empêche ça ? Je croyais que si un site permettait ce genre de choses, c'est qu'il était mal conçu et "tant pis pour lui". Paypal pourrait porter plainte, après est-ce qu'il obtiendra gain de cause....
    Bouddha : Tout n'est qu'illusion en ce bas monde.
    Jésus : Tout est amour divin.
    Einstein : Tout est relatif dans cet espace-temps.
    Moi : Tout est binaire sur ce forum.

  11. #11
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 985
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 985
    Points : 27 279
    Points
    27 279
    Par défaut
    Citation Envoyé par stalacta Voir le message
    Illégal ? Concrètement, il y a une loi qui empêche ça ? Je croyais que si un site permettait ce genre de choses, c'est qu'il était mal conçu et "tant pis pour lui". Paypal pourrait porter plainte, après est-ce qu'il obtiendra gain de cause....
    C'est comme une arnaque à l'assurance, c'est bien illégal.

    Je ne te citerai pas d'exemples d'arnaques à l'assurance, mais faire quelque chose en sachant que c'est illégal ne sera jamais considéré comme légal par un juge.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  12. #12
    Membre averti
    Homme Profil pro
    Développeur en formation
    Inscrit en
    juillet 2013
    Messages
    300
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur en formation
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2013
    Messages : 300
    Points : 409
    Points
    409
    Par défaut
    C'est vrai.
    Bouddha : Tout n'est qu'illusion en ce bas monde.
    Jésus : Tout est amour divin.
    Einstein : Tout est relatif dans cet espace-temps.
    Moi : Tout est binaire sur ce forum.

Discussions similaires

  1. Réponses: 10
    Dernier message: 28/10/2010, 10h47
  2. Une faille dans iOS 4.1 permet un vol des données personnelles
    Par Katleen Erna dans le forum Actualités
    Réponses: 10
    Dernier message: 28/10/2010, 10h47
  3. Une faille dans QuickTime permet une attaque par drive-by sur IE
    Par Katleen Erna dans le forum Actualités
    Réponses: 1
    Dernier message: 31/08/2010, 18h20
  4. Réponses: 19
    Dernier message: 25/08/2010, 14h51
  5. Linux : Une faille dans le nouveau noyau 2.6.31
    Par ovh dans le forum Administration système
    Réponses: 20
    Dernier message: 23/09/2009, 13h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo