Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez PayPal : Une vulnérabilité permet de voler de l’argent
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > PayPal : Une vulnérabilité permet de voler de l’argent

PayPal : Une vulnérabilité permet de voler de l’argent

Louis Touzalin
Louis Touzalin
Published: 29/05/2022
Last updated: 29/05/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager

Un chercheur en sécurité affirme avoir découvert une vulnérabilité non corrigée dans le service de transfert d’argent de PayPal, qui pourrait permettre aux attaquants d’inciter les victimes à effectuer, à leur insu, des transactions dirigées par les attaquants en un seul clic.

Le « clickjacking », également appelé « redressage d’interface utilisateur« , désigne une technique par laquelle un utilisateur involontaire est incité à cliquer sur des éléments de page web apparemment inoffensifs, comme des boutons, dans le but de télécharger des logiciels malveillants, de le rediriger vers des sites web malveillants ou de divulguer des informations sensibles.

Pour ce faire, on affiche généralement une page ou un élément HTML invisible au-dessus de la page visible, ce qui donne lieu à un scénario dans lequel les utilisateurs sont amenés à penser qu’ils cliquent sur la page légitime alors qu’ils cliquent en fait sur l’élément malveillant qui s’y superpose.

D'autres articles intéressants

Twitter va laisser les bots ayant un « bon contenu » accéder gratuitement à son API
Huawei présente son nouveau MateBook D16 avec un Intel Core i9
Dell Copilot+ : Lancement des PC XPS 13 et Inspiron 14 Plus AI
La taille des smartphones cessera-t-elle d’augmenter ?
Pixel 6 : Un bug dans les gestes fait freezer l’écran

Ainsi, l’attaquant « détourne » les clics destinés à la page [légitime] et les achemine vers une autre page, très probablement détenue par une autre application, un autre domaine, ou les deux », a écrit le chercheur en sécurité h4x0r_dz dans un article documentant ses découvertes.

h4x0r_dz, qui a découvert le problème sur le point de terminaison « www.paypal[.]com/agreements/approve« , a déclaré que le problème avait été signalé à l’entreprise en octobre 2021.

« Ce point de terminaison est conçu pour les accords de facturation et il devrait accepter uniquement billingAgreementToken« , a expliqué le chercheur. « Mais au cours de mes tests approfondis, j’ai découvert que nous pouvons passer un autre type de jeton, et cela conduit à voler de l’argent sur le compte PayPal d'[une] victime.« 

Cela signifie qu’un adversaire pourrait intégrer le point de terminaison susmentionné à l’intérieur d’une iframe, amenant une victime déjà connectée à un navigateur Web à transférer des fonds vers un compte PayPal contrôlé par l’attaquant, simplement en cliquant sur un bouton.

Plus inquiétant encore, l’attaque aurait pu avoir des conséquences désastreuses sur les portails en ligne qui intègrent PayPal pour les paiements, permettant à l’acteur malveillant de déduire des montants arbitraires des comptes PayPal des utilisateurs.

« Il existe des services en ligne qui vous permettent d’ajouter un solde utilisant PayPal à votre compte« , a déclaré h4x0r_dz. « Je peux utiliser le même exploit et forcer l’utilisateur à ajouter de l’argent sur mon compte, ou je peux exploiter ce bug et laisser la victime créer/payer le compte Netflix pour moi !« .

Le bug n’est toujours pas corrigé et que le chercheur en sécurité n’a reçu aucune prime de bug pour avoir signalé le problème.

0/5 (0 Reviews)
Partager cet article
Facebook Email Copy Link Imprimer
Laisser une note

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Notre partenaire

H9 Banner 300x600 FR

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Vous aimerez aussi ...

xiaomi 15 ulra

Le Xiaomi 15 Ultra se dévoile en avance sur GeekBench

04/02/2025
Mac Pro

Apple soutient les mesures de Trump sur les pièces de Mac Pro

03/12/2021

Poco M4 Pro 5G : Le lancement serait annoncé le 9 novembre à un prix intéressant

28/10/2021
Les nouvelles icônes Android

Android : De nouvelles icônes pour les applications natives

21/10/2022

A ne pas louper !

test asus rog phone 8pro avis (10)
Le Asus ROG Phone 8 n’a jamais été à un prix aussi intéressant
Bons plans
ecran msi 24 1440p 144hz promo amazon
Cet écran gamer 34 pouces et 144 Hz est en promo exceptionnelle
Bons plans
promotion alimentation asus tuf 1200w
Asus fait tomber le prix de cette alimentation 1200W à moins de 200€
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?