Paypal corrige une faille critique dans son système d’authentification

Un chercheur en cybersécurité découvre un bug qui permettait d’intercepter le mot de passe d’un utilisateur Paypal. Faille corrigée en 5 jours.

Alex Birsan est un chercheur en cybersécurité. Il vient de faire corriger une faille de taille dans le système d’authentification de Paypal. « En explorant le flux d’authentification principal de PayPal, j’ai remarqué un fichier javascript contenant ce qui semblait être un jeton CSRF et un ID de session » indique Alex.

De cette constatation, alors que Paypal avait mis en place une série de sécurités, il était possible d’intercepter le mot de passe des utilisateurs. Un pirate aurait pu mettre en place une page particulièrement formulée pour recevoir les données.

Cette même méthode offrait la possibilité de copier des données de cartes bancaires. « J’ai découvert plus tard que la même vulnérabilité était également utilisé sur certaines pages de paiement non authentifiées, confit Alex. Elle permettait aux données de carte de crédit en texte brut d’être divulguées en utilisant la même technique. »

Alertée en novembre 2019 Paypal va corriger  en 5 jours. L’inventeur de ce 0day a touché plus de 10 000 dollars de prime.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. ungars Reply

    Et c’est pour cela que sur le Darkweb, on trouve tant de comptes Paypal à vendre, tant de numéros de CB à vendre…

Répondre à Damien Bancal Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.