Pour ce faire, une victime devait entrer une seconde adresse e-mail liant son compte. Une fois cette première opération effectuée, la suppression de l'adresse non-confirmée provoquait la suppression du compte. Ce dernier « n'existant plus », il était alors possible d'en recréer un nouveau avec le même nom d'utilisateur mais avec un mot de passe différent.
Il lui était ensuite possible d'affecter un nouveau compte bancaire pour compléter l'inscription. Des personnes penseront alors peut-être envoyer de l'argent à une personne en particulier mais le destinataire sera différent du propriétaire initial du compte.
Selon The Register, PayPal aurait reconnu l'existence de la faille une semaine après sa communication. La rustine de sécurité aurait, pour sa part, été déployée la semaine dernière. Quant au spécialiste en sécurité, il aurait reçu la somme de 3 000 dollars en récompense de sa découverte.
Aucun commentaire:
Enregistrer un commentaire