Muitos de nós possuir uma conta PayPal para fácil transações on-line, mas a maioria de nós não tem equilíbrio em nossa conta paypal. Mas o que vai acontecer se o seu dinheiro dobrar, triplicar ... ou mesmo mais dobrar em apenas algumas poucas horas? Soa acalentar!
Uma brecha no serviço de pagamento e transferência de dinheiro digitais popular, PayPal permite que seus usuários possa dobrar o dinheiro em sua conta e que também indefinidamente. Isso significa que com apenas US $ 50 em sua conta do PayPal, você pode fazê-lo para US $ 100, então US $ 100 a US $ 200 e diretamente assim por diante.
Uma empresa de propriedade do eBay, o PayPal fornece uma maneira mais rápida e segura de pagar e receber o pagamento. O serviço oferece às pessoas formas mais simples de enviar dinheiro sem compartilhar informações financeiras, com mais de 148 milhões de contas ativas em 26 moedas e todo 193 mercados, processando, assim, mais de 9 milhões de pagamentos por dia.
De acordo com TinKode aka Razvan Cernaianu, que alegou ter encontrado essa brecha no serviço PayPal que realmente reside em seu processo de estorno que poderia ser usado para fazer fraudes e transferências bancárias.
Tinkode é um ex-hacker romeno condenado, que foi preso no ano de 2012 por atacar a NASA, Oracle, Pentágono, Exército dos EUA e muitos sites de alto nível, ele foi condenado a pagar uma indemnização no valor de mais de EUA $ 120.000.
"A Chargeback, também conhecido como uma reversão, ocorre quando um comprador pede uma empresa de cartão de crédito para reverter uma transação que já foi eliminada", e isso pode ser feito quando o número do cartão de crédito do comprador é roubado e usado de forma fraudulenta ou se o vendedor tenta fraude .
Ele notou a falha ao fazer uma transação usando o PayPal com uma pessoa por volta em 2010, que estava tentando enganá-lo com seu dinheiro, usando o mesmo processo de estorno. Para evitar acusações de pagar, ele transfere todo o seu dinheiro de sua conta temporária para, e depois para outra conta real e transferências bancárias. Mas, quando ele verificou depois de um mês, ele percebeu que seu saldo foi negativo ou seja, R $ 50.
Exatamente esse truque, ele demonstrou a equipe de segurança do PayPal, que permite que qualquer pessoa para dobrar sua quantidade infinitamente. Em uma prova de conceito explicação ele detalhou que, ao fazer três conta PayPal separado com um real e outros dois verificados usando Cartão de Crédito Virtual (VCC) e Virtual Conta Bancária (VBA).
POC Scenario:
"Assim, por exemplo, você tem 500 $ em sua conta. Você transferir o dinheiro para a segunda conta com o pretexto de comprar um telefone. A partir da segunda conta mais uma vez transferir o dinheiro para a terceira conta como um presente. Depois de 24 horas, use a função charge-back da primeira conta (o real) para obter o dinheiro de volta, com a desculpa de que o telefone não chegar a tempo. O PayPal vai iniciar um processo em que ambos os lados trazer provas para sua defesa. Obviamente, você só vai enviar provas da primeira conta mostrando que você estava enganado. No final do julgamento, o dinheiro será restaurada para a conta principal eo segundo conta terá um saldo negativo de -500 $. Dessa forma, você duplicou a quantidade inicial de dinheiro, porque você ainda tem 500 $ na terceiro conta. Como a segunda conta é apenas um virtual, não vai ter dinheiro real a partir do qual o PayPal pode extrair. Assim você fica com 500 $ restaurados pelo PayPal, e 500 $ em sua terceira conta ".
TinKode já relatou a falha à equipe da PayPal Security for bug eles admitiram isso como uma falha em seus Termos de Serviço (TOS), mas não como uma vulnerabilidade de aplicações web. "Enquanto o abuso aqui descrito é possível em nosso sistema, o comportamento abusivo repetido pelo mesmo e / ou conta vinculada (s) são os destinatários". PayPal respondeu.
TinKode não é elegível para bug de recompensas, mas agradecê-lo por expor essa técnica de fraude que já poderia estar em uso por alguns criminosos para gerar dinheiro ilegalmente. Qualquer pessoa com pouco conhecimento técnico pode reproduzir este truque, mas os leitores são aconselhados a não tentar usar esse truque como PayPal poderia bloquear a sua conta permanentemente.
Fonte: TheHackerNews