Passer au contenu

Une faille dans PayPal permettait de siphonner l’argent des utilisateurs

Un bug dans le processus de paiement en ligne permettait à un éventuel pirate de vider n’importe quel compte PayPal ou de voler les données de carte bancaire.

Le hacker égyptien Ebrahim Hegazy (alias Zigoo0) a détecté une faille de type « Cross-site scripting » (XSS) plutôt méchante dans le service en ligne de PayPal. Lorsqu’un utilisateur est sollicité pour effectuer un paiement, il est redirigé vers le domaine https://securepayments.paypal.com qui lui propose de régler son dû au travers de son compte PayPal ou directement par carte bancaire.

La faille trouvée par M. Hegazy permettait à une personne mal intentionnée de modifier cette page dans le navigateur de l’utilisateur et, ainsi, de prendre le contrôle sur le processus de paiement. Elle pouvait, par exemple, redéfinir le montant et envoyer les fonds vers son propre compte bancaire. Ou encore voler les données de carte bancaire, si ce moyen de paiement était sélectionné.

Ci-dessous une vidéo de démonstration:

Ebrahim Hegazy a trouvé cette faille le 19 juin dernier. Il a immédiatement contacté PayPal qui a corrigé la faille depuis trois jours et récompensé le hacker dans le cadre de son « Bug Bounty Program ». Espérons que M. Hegazy était le premier à détecter cette faille…

Source :

Note de blog de M. Hegazy

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN