PayPal : Une faille permet d’accéder à un compte bloqué
Le service de paiement PayPal est vulnérable à une faille qui permet d'outrepasser une restriction d'authentification, cela permet de passer le blocage sur un compte lorsque ce dernier est bloqué.
Cette faille de sécurité réside dans l'API mobile au sein de la procédure d'authentification sur le service PayPal, qui ne vérifie pas si le compte est bloqué et restreint.
Comment ça marche ?
Lorsqu'un utilisateur tente de se connecte avec une mauvaise combinaison utilisateur/mot de passe plusieurs fois, par sécurité, PayPal restreint l'accès au compte de cet utilisateur tant que les réponses secrètes de quelques questions de sécurité ne sont pas données.
Cependant, si ce même utilisateur, passe sur son smartphone au sein de l'application PayPal et tente d'accéder à son compte, il pourra accéder à son compte sans aucun problème et ce sans avoir à fournir les réponses aux questions de sécurité.
Toujours pas de correctif apporté !
Reportée il y a un an par Benjamin Kunz Mejri de chez Vulnerability Laboratory, et reportée à l'équipe de sécurité PayPal, la vulnérabilité n'est toujours pas corrigée.
D'après les informations fournies, cette vulnérabilité obtient un score de 6,2 au CVSS (Common Vulnerability Scoring System).
Une vidéo de démonstration est disponible, la voici :
Quant aux produits affectés, il s'agit de l'application mobile pour iOS aussi bien sur iPhone que sur iPad. D'après le chercheur en sécurité, la faille est présente dans la version 4.6.0 mais aussi dans la toute dernière version 5.8.
