Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Thursday 3 February 2005
0 comment(s) | Subnetwork France

Ce début d'année n'est décidément pas celui de Paypal. Après avoir laissé filtrer sur Internet les adresses de ses clients, la sécurité du service de paiement est à nouveau mise en cause, cette fois-ci dans le cadre d'une arnaque aux paiements. Selon une discussion sur une liste de diffusion des vulnérabilités, Paypal ne validerait pas toujours correctement les informations en provenance de ses formulaires web de paiement. Plus spécifiquement, il ne s'intéresserait qu'à la valeur numérique du paiement (le "combien") mais pas à celle de la devise (le "quoi"). La seule vérification de la devise reposerait donc alors sur l'utilisation du formulaire web fourni par Paypal, que de nombreux sites intègrent afin de faciliter les réglements. La méthode est sûre lorsque le site n'accepte qu'une seule devise (ce qui est la configuration par défaut), mais elle l'est beaucoup moins pour les sites multi-devises. En fournissant directement les informations au moteur de Paypal, sans passer par le formulaire, le hacker à l'origine de l'alerte est ainsi parvenu à acheter de nombreux services au prix indiqué... mais en choisissant sa propre devise ! Il a ainsi pu, dans certains cas, diviser les tarifs par dix et acheter par exemple 1000 minutes de communications téléphoniques pour le prix de 100. Il n'y a pour l'instant aucun correctif à cette vulnérabilité. Selon le découvreur de l'arnaque, Paypal semble difficile à joindre. En outre, il s'agit essentiellement d'un problème à régler du côté des sites marchands. En attendant, si vous utilisez les services de Paypal pour collecter des paiements, assurez-vous de n'accepter qu'une seule devise... la bonne !