Брешь в технологии возврата платежей в PayPal дает возможность бесконечно удваивать средства на счету

17/06/2014
Брешь в технологии возврата платежей в PayPal дает возможность бесконечно удваивать средства на счету

Хакер Разван Чернаяну из Румынии, который известен громкими взломами сайтов Пентагона, NASA и Oracle, сообщил о найденной уязвимости в системе платежей PayPal. Он предупредил представителей компании о том, что найденная им брешь в системе возврата платежей может пользоваться спросом у мошенников, которые смогут бесконечно удваивать средства на счету.

Возврат происходит в том случае, когда покупатель просит компанию-эмитента кредитной карты вернуть обратно транзакцию. То же самое может сделать и мошенник, который похитил номер карты. Хакер нашел эту уязвимость еще в 2010 году, когда сам оказался жертвой мошенника, который попытался воспользоваться его деньгами, запросив возврат платежа.

Хакер показал команде безопасности PayPal, как можно использовать брешь, имея всего 3 разные учетные записи: одну настоящую и еще 2, идентифицированные через Virtual Credit Card и Virtual Bank Account.

Как объясняет хакер, допустим, у вас есть 500 долларов на счету. Вы переводите их на второй аккаунт, сообщая, что оплачиваете приобретение телефона. Затем со второго счета вы перечисляете средства на третий как подарок. Через сутки, используя опцию возврата платежа, вы обращаетесь в компанию с просьбой вернуть средства на первый аккаунт, объясняя, что не получили вовремя телефон. В этом случае PayPal инициирует разбирательство, в ходе которого две стороны должны представить доказательства в свою пользу. Естественно, вы предоставляете доказательства лишь от первого аккаунта, демонстрируя, что вас якобы обманули. В результате на первом счету деньги восстанавливаются, а второй кошелек обнуляется. Так вы удваиваете свои средства, так как изначальные 500 долларов все еще находятся на третьем счету.


Источник: «PayPal»

867
Комментарии
Добавить комментарий

Яндекс.Метрика