PayPal : Une faille permet d’accéder à un compte bloqué

Le service de paiement PayPal est vulnérable à une faille qui permet d'outrepasser une restriction d'authentification, cela permet de passer le blocage sur un compte lorsque ce dernier est bloqué.

Cette faille de sécurité réside dans l'API mobile au sein de la procédure d'authentification sur le service PayPal, qui ne vérifie pas si le compte est bloqué et restreint.

Comment ça marche ?

logo-paypal2Lorsqu'un utilisateur tente de se connecte avec une mauvaise combinaison utilisateur/mot de passe plusieurs fois, par sécurité, PayPal restreint l'accès au compte de cet utilisateur tant que les réponses secrètes de quelques questions de sécurité ne sont pas données.

Cependant, si ce même utilisateur, passe sur son smartphone au sein de l'application PayPal et tente d'accéder à son compte, il pourra accéder à son compte sans aucun problème et ce sans avoir à fournir les réponses aux questions de sécurité.

Toujours pas de correctif apporté !

Reportée il y a un an par Benjamin Kunz Mejri de chez Vulnerability Laboratory, et reportée à l'équipe de sécurité PayPal, la vulnérabilité n'est toujours pas corrigée.

D'après les informations fournies, cette vulnérabilité obtient un score de 6,2 au CVSS (Common Vulnerability Scoring System).

Une vidéo de démonstration est disponible, la voici :

Quant aux produits affectés, il s'agit de l'application mobile pour iOS aussi bien sur iPhone que sur iPad. D'après le chercheur en sécurité, la faille est présente dans la version 4.6.0 mais aussi dans la toute dernière version 5.8.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5503.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.