Chyba v PayPal: násobit do nekonečna své peníze může každý

Autor: .cCuMiNn.

13.6.2014

Hackování nemusí být vždy jen o neoprávněném průniku do útrob informačních technologií. TinKode známý také jako Razvan Cernaianu ukázal, že někdy k úspěšnému hacku stačí i jen řídit se pravidly a systém se poddá sám.

TinKode po své zkušenosti s peněžními transakcemi na PayPal účtech jednoho dne zjistil, že jeden z jeho účtů se ocitl v mínusu. Po pečlivém prostudování odhalil chybu, která komukoliv umožňuje násobit donekonečna své finanční prostředky.

O co tedy jde?

K celému fíglu budete potřebovat tři PayPal účty: Jeden skutečně svázaný s pravou bankovní kartou. Ostatní dva pak pouze na virtuální kreditní kartu (VCC) nebo virtuální bankovní účet (VBA). Tyto služby prý nabízí některé banky pro časově omezené přijmy plateb z Internetu.

Prvním z účtů provedete platbu na druhý účet. Následně z tohoto druhého účtu převedete peníze na třetí účet ve formě daru. Po uplynutí 24 hodin požádáte z prvního účtu o stornování transakce funkcí carge-back. Této funkce je možné využít například tehdy, když obchodník nedodal objednané zboží.

A jak budou vypadat výše jednotlivých účtů po provedení všech výše uvedených kroků? Na prvním účtě najdete vrácené peníze. Na třetím účtě budou rovněž peníze, které přišly darem. Ovšem třetí účet se rázem ocitne v mínusu. No co? Ať si ten účet PayPal klidně nechá, když je podle něj vše v pořádku, no ne?

TinKode celou zážitost ohlásil v rámci Bug Bounty programu PayPalu, ale zhruba po měsíci a půl se dočkal pouze odpovědi, že se nejedná o záležitost, která by pod Bug Bounty spadala, a že je tedy vlastně vše v pořádku.

Thank you for your patience while we completed our investigation. After reviewing your submission we have determined this is not a Bug Bounty issue, but one of our Protection Policy. While the abuse described here is possible in our system, repeated abusive behavior by the same and/or linked account(s) is addressed. Thank you for your participation in our program.

Thanks,
eBay, Inc Bug Bounty Team

Po této odpovědi již TinKode neviděl důvod, proč se o celou záležitost nepodělit s veřejností.

Chyba v PayPal: násobit do nekonečna své peníze může každý

O co tedy jde?

Hodnocení/Hlasovalo: 4.17/12

Hacking keywords


	.Infobox Nejnovější: Články: Zabraňte zneužití svých dat Skrytí oprávnění v Androidu (CVE-2019-2089) Studie: Třetina českých e-shopů má bezpečnostní problémy! Aktuality: Pozvánka na OWASP Czech chapter meeting Vyšel Kali Linux 2020.1 Pozvánka na OWASP Czech chapter meeting IT Právo: Jak poslat Email, aby se nejednalo o spam? Konverzace na ICQ jako důkaz. Uveřejnění cizích fotografií Soubory: Phoenix 2.5 Crimeware Exploit Kit Crimepack 3.1.3 BugTrack: SQLi na kacov.cz SQLi www.vetercie.cz RXSS na mall.cz HackForum: Sciolink a pořizování screenshotu obrazovky Dark Web - zkušenosti Detekce HW keyloggeru Další služby: BBC: Supported Tags RSS: RSS Feeds v2.0 IRC: #soom (irc.2600.net) Na SOOM.cz je: Článků: 991 Komentářů: 14 249 Aktualit: 1 861 Souborů: 151 WebForum: 49 235 Hardware: 38 Diskuze: 20 069 BugTrack: 4 412 Reg. uživatelů: 15 653 A proběhlo: Zobraz. článků: 16 904 378 Staženo souborů: 1 341 897 Staženo dat: 862 237 MB Přístupy (hits): 188 726 723