Quand le site Paypal se paye une belle peur
Petite montée de stress dans le système de paiement en ligne Paypal : une ...
Petite montée de stress dans le système de paiement en ligne Paypal : une faille a été découverte dans ce service propriété d’Ebay, par un usager un poil plus curieux que les autres.
Résumé : certains des mails commerciaux envoyés par Paypal contiennent une fonction « unsubscribe ». Par simple clic, le destinataire a la possibilité de se désinscrire de la mailing et retrouver le calme d’antan. Classique.
Toutefois, à l’analyse le code qui se cache derrière le lien en question, on se rend compte que sa structure est du type :
http://ebay.benchmarkportal.com/paypal/opt_out.zzzzid=XXXX
avec XXXX un numéro correspondant à l’identification de l'abonné (zzzz est volontairement caché)
Le hic est qu’après un rapide test, l'usager a découvert qu'en modifiant ce numéro, on accède au mail de dizaine de milliers d'usagers enregistrés auprès de Paypal. Dans de telles conditions, une société tierce peut alors savoir qui est titulaire d'un compte paypal, le desinscrire unilatéralement de la mailing, ou pourquoi pas se constituer une bonne base à spammer.
Découverte il y a quelques heures, la faille a été heureusement colmatée par Benchmarkportal, le prestataire chargé de cette section. Ouf !
Cliquer pour agrandir
Cliquer pour agrandir
Résumé : certains des mails commerciaux envoyés par Paypal contiennent une fonction « unsubscribe ». Par simple clic, le destinataire a la possibilité de se désinscrire de la mailing et retrouver le calme d’antan. Classique.
Toutefois, à l’analyse le code qui se cache derrière le lien en question, on se rend compte que sa structure est du type :
http://ebay.benchmarkportal.com/paypal/opt_out.zzzzid=XXXX
avec XXXX un numéro correspondant à l’identification de l'abonné (zzzz est volontairement caché)
Le hic est qu’après un rapide test, l'usager a découvert qu'en modifiant ce numéro, on accède au mail de dizaine de milliers d'usagers enregistrés auprès de Paypal. Dans de telles conditions, une société tierce peut alors savoir qui est titulaire d'un compte paypal, le desinscrire unilatéralement de la mailing, ou pourquoi pas se constituer une bonne base à spammer.
Découverte il y a quelques heures, la faille a été heureusement colmatée par Benchmarkportal, le prestataire chargé de cette section. Ouf !
Avant :
Cliquer pour agrandir
Après :
Cliquer pour agrandir
Marc Rees
le 23 janvier 2005 à 10:41
(8 109
lectures)
Actualités et brèves relatives
- 18 / 01 / 2005 : Une faille supplémentaire dans les services Google
- 16 / 01 / 2005 : Microsoft le dit : pas de faille dans les DRM
- 11 / 01 / 2005 : Et les DRM furent les vecteurs de l'insécurité
- 10 / 01 / 2005 : Trois nouvelles failles critiques pour IE
- 06 / 01 / 2005 : Une faille dans Mozilla et Firefox
- 03 / 01 / 2005 : Des fichiers WMA truqués sur les réseaux P2P
- 31 / 12 / 2004 : Une faille critique découverte dans mozilla, et corrigée
- 30 / 12 / 2004 : Un nouveau trojan menace Windows XP SP2
- 22 / 12 / 2004 : Une faille dans Google Desktop
