Брешь в процессе возврата платежа в PayPal позволяет бесконечно удваивать баланс счета

image

Теги: PayPal, уязвимость, мошенничество

Румынский хакер продемонстрировал команде по безопасности PayPal способ эксплуатации бреши, используя три отдельные учетные записи.

Румынский хакер Разван Чернаяну (Razvan Cernaianu), известный также как TinKode, ответственный за взлом сайтов NASA, Oracle и Пентагона, сообщил об уязвимости в платежной системе PayPal. По его словам, брешь в процессе возврата платежей может быть использована мошенниками для бесконечного удваивания средств на счету.

Процедура возврата платежа проходит в случае, когда покупатель запрашивает у компании, выдавшей ему кредитную карту, провести обратную транзакцию. Это может сделать даже злоумышленник, который похитил номер кредитной карты в мошеннических целях. TinKode сообщил, что обнаружил уязвимость еще в 2010 году, когда сам столкнулся с мошенником, попытавшимся совершить аферу с его деньгами, используя брешь в процессе возврата платежа.

Хакер продемонстрировал команде по безопасности PayPal способ эксплуатации бреши, используя три отдельные учетные записи – одну настоящую, и еще две, проверенные с помощью Virtual Credit Card и Virtual Bank Account.

«К примеру, у вас на счету есть 500$, - заявил TinKode. – Вы перечисляете их на второй счет, сообщив, будто оплачиваете покупку телефона. Со второго счета вы перечисляете деньги на третий в качестве подарка. Через 24 часа, используя функцию возврата платежа, вы просите компанию вернуть деньги на первый счет, мотивируя это тем, что телефон не пришел вовремя. Тогда PayPal инициирует процесс, в ходе которого обе стороны должны предоставить доказательства в свою защиту. Очевидно, что вы можете предоставить доказательства только с первой учетной записи, демонстрируя, будто вас обманули. В итоге деньги на первом счету будут восстановлены, а второй обнулится. Таким образом вы удваиваете свои средства, так как первоначальные 500$ по-прежнему находятся у вас на третьем счету».  


или введите имя

CAPTCHA
$$
16-06-2014 18:18:32
Простите пожалуйста , а поподробнее можно ?
0 |
17-06-2014 14:43:08
Да куда уж подробнее? Пейпал гарантирует сделку, но, получается, он не блокирует пришедшие на счет продавца деньги до получения подтверждения покупателя, т.е. продавец может их сразу вывести со счета. В итоге - в случае оспаривания сделки и пустого кошелька в этот момент у продавца - попадает на деньги пейпал. к примеру, Escrow от Ali в этом плане куда логичнее - деньги у них падают на промежуточный счет и поступают продавцу только после подтверждения покупателем.
0 |