https://www.zataz.com/paypal-corrige-une-faille-critique-dans-son-systeme-dauthentification/
Un chercheur en cybersécurité découvre un bug qui permettait d’intercepter le mot de passe d’un utilisateur Paypal. Faille corrigée en 5 jours.
Alex Birsan est un chercheur en cybersécurité. Il vient de faire corriger une faille de taille dans le système d’authentification de Paypal. « En explorant le flux d’authentification principal de PayPal, j’ai remarqué un fichier javascript contenant ce qui semblait être un jeton CSRF et un ID de session » indique Alex.
De cette constatation, alors que Paypal avait mis en place une série de sécurités, il était possible d’intercepter le mot de passe des utilisateurs. Un pirate aurait pu mettre en place une page particulièrement formulée pour recevoir les données.
Cette même méthode offrait la possibilité de copier des données de cartes bancaires. « J’ai découvert plus tard que la même vulnérabilité était également utilisé sur certaines pages de paiement non authentifiées, confit Alex. Elle permettait aux données de carte de crédit en texte brut d’être divulguées en utilisant la même technique. »
Alertée en novembre 2019 Paypal va corriger en 5 jours. L’inventeur de ce 0day a touché plus de 10 000 dollars de prime.