PayPal : des chercheurs découvrent six failles de sécurité

https://www.android-mt.com/news/paypal-des-chercheurs-decouvrent-six-failles-de-securite/99475/

Les chercheurs en sécurité informatique de Cybernews ont découvert six failles de sécurité dans le code de PayPal. Une nouvelle qui n’a pas été très bien accueillie par l’entreprise.

Les experts en sécurité informatique de Cybernews ont découvert la présence de six failles de sécurité dont certaines critiques dans le code de PayPal. Les chercheurs se sont empressés de prévenir l’entreprise, qui a décidé de les envoyer paître. Face au mutisme du service de paiement, Cybernews a été contrait et forcé de passer par HackerOne, une plateforme qui offre des primes à tous les chasseurs de bugs.

Quelles sont ces failles et où se cachent-elles ? Les agents de Cybernews ont analysé en profondeur les différentes applications mobiles de PayPal et le site internet. Ils y ont trouvé au total six vulnérabilités. La première est la plus grave de tous, et concerne la double-authentification (2FA). Comme le précise CyberNews, ils ont pu contourner en quelques minutes le jeton d’identification qui permet à un utilisateur d’accéder à son compte depuis un nouvel appareil ou une nouvelle adresse IP. Ceci fait, on obtient un accès total au compte (coordonnées bancaires, historique des commandes, etc.).

La seconde vulnérabilité permet elle d’ajouter un nouveau numéro de téléphone en évitant de passer par la case OTP (One-Time Password). Ceci permet de créer de faux comptes utilisateur, sans recevoir de code de vérification par SMS. Ensuite, la troisième faille concerne une mesure de sécurité autonome. Elle se déclenche dès l’envoi d’une somme d’argent depuis un nouveau compte ou un nouvel appareil. Selon Cybernews, une attaque par force brute (un robot teste toutes les combinaisons possibles jusqu’à tomber sur le bon mot de passe) suffirait à faire tomber cette défense.

Les trois autres failles se révèlent moins dangereuses :

Possibilité de changer entièrement son nom et prénom (normalement, il n’est possible que de modifier une ou deux lettres maximum)

Une faille XSS dans le SmartChat, l’assistant automatique de PayPal, permet à un hacker d’obtenir des informations personnelles d’un utilisateur

Possibilité pour un pirate d’injecter du code dans le compte d’un utilisateur, afin de lui subtiliser des données sensibles

Pour l’heure, nous ne savons pas si Paypal s’est décidé à prendre au sérieux les avertissements de CyberNews et s’ils ont corrigé ces vulnérabilités.