Yasser Ali, un étudiant Égyptien vient de toucher 10.000 $ de Paypal. Le chercheur en sécurité informatique avait trouvé le moyen de pirater la grosse tirelire Paypal.
Ali, qui est ingénieur en mécanique, a découvert le moyen de passer outre la sécurité mise en place par Paypal. Inquiétant quand on connait les masses d’argent qui peuvent transiter par le géant américain. Via un simple clic, sur un lien particulièrement formulé dans un courriel envoyé à une cible, un pirate pouvait prendre la main sur le compte Paypal ciblé, et l’exploiter à loisir.
PayPal n’a pas tardé à répondre à cette alerte. Correction effectuée, Ali a touché 10 000 dollars de récompense. La faille se situait du côté des jetons d’authentification. Ces codes sont envoyés aux clients et sont changés à chaque fois que l’utilisateur clique sur le lien Paypal. Ali a cependant identifié que chaque jeton peut être réutilisé en faisant croire à Paypal que le client « cliqueur » est bien le propriétaire du compte en question. (Ali)
« un pirate pouvait prendre la main sur le compte Paypal ciblé, et l’exploiter à loisir »
Via un simple jeton étrange quand même ?! Plus d’information sur le sujet serait grandement apprécié 🙂
Car le fait que l’attaquant balance un lien trafiqué à sa victime fait plus pensée à une attaque type CRSF. Mais le fait de pouvoir ré-utiliser des jetons pas terrible niveau sécurité …
Aussi, Ali aurait bien eu du mal à trouver des jetons d’un autre utilisateur si il n’est pas sur le même LAN ou si un faille ne lui permet pas de le récupérer à distance.
Merci pour l’article 😉