Zpět na seznam aktualit     Číst komentáře (8)     Verze pro tisk

Chyba v PayPal: násobit do nekonečna své peníze může každý

Autor: .cCuMiNn.   
13.6.2014

Hackování nemusí být vždy jen o neoprávněném průniku do útrob informačních technologií. TinKode známý také jako Razvan Cernaianu ukázal, že někdy k úspěšnému hacku stačí i jen řídit se pravidly a systém se poddá sám.


TinKode po své zkušenosti s peněžními transakcemi na PayPal účtech jednoho dne zjistil, že jeden z jeho účtů se ocitl v mínusu. Po pečlivém prostudování odhalil chybu, která komukoliv umožňuje násobit donekonečna své finanční prostředky.

O co tedy jde?

K celému fíglu budete potřebovat tři PayPal účty: Jeden skutečně svázaný s pravou bankovní kartou. Ostatní dva pak pouze na virtuální kreditní kartu (VCC) nebo virtuální bankovní účet (VBA). Tyto služby prý nabízí některé banky pro časově omezené přijmy plateb z Internetu.

Prvním z účtů provedete platbu na druhý účet. Následně z tohoto druhého účtu převedete peníze na třetí účet ve formě daru. Po uplynutí 24 hodin požádáte z prvního účtu o stornování transakce funkcí carge-back. Této funkce je možné využít například tehdy, když obchodník nedodal objednané zboží.

A jak budou vypadat výše jednotlivých účtů po provedení všech výše uvedených kroků? Na prvním účtě najdete vrácené peníze. Na třetím účtě budou rovněž peníze, které přišly darem. Ovšem třetí účet se rázem ocitne v mínusu. No co? Ať si ten účet PayPal klidně nechá, když je podle něj vše v pořádku, no ne?

TinKode celou zážitost ohlásil v rámci Bug Bounty programu PayPalu, ale zhruba po měsíci a půl se dočkal pouze odpovědi, že se nejedná o záležitost, která by pod Bug Bounty spadala, a že je tedy vlastně vše v pořádku.


Thank you for your patience while we completed our investigation. After reviewing your submission we have determined this is not a Bug Bounty issue, but one of our Protection Policy. While the abuse described here is possible in our system, repeated abusive behavior by the same and/or linked account(s) is addressed. Thank you for your participation in our program.

Thanks,
eBay, Inc Bug Bounty Team


Po této odpovědi již TinKode neviděl důvod, proč se o celou záležitost nepodělit s veřejností.

Zdroj: https://cybersmartdefence.com/docs/Paypal-Safely-Double-your…


Social Bookmarking

     





Hodnocení/Hlasovalo: 4.11/9

1  2  3  4  5    
(známkování jako ve škole)