Cette vulnérabilité fracassante du site qui fait ses choux gras sur la sécurité des paiements sur Internet a été découverte par l'informaticien égyptien Ebrahim Hegazy, pseudo Zigoo0

Zigoo0 a donc zigouillé la sécurité de Paypal. Il explique comment sur son blog.

Une simple attaque en Cross Site Scripting (XSS) permettait de modifier la page de paiement sécurisée Paypal, cette page qui permet de payer soit via un compte Paypal existant, soit par carte bleue.

La page ainsi modifiée, tout devenait possible : récolter en clair les informations concernant la carte bleue, modifier le montant du paiement, ou même effectuer un transfert de fond vers le compte Paypal de l'attaquant.

L'attaquant pouvait être tout site de e-commerce malveillant, ou simplement un petit site lambda qui propose de faire des donations via un bouton Paypal. Plus exactement, n'importe qui pouvant bidouiller un bouton Paypal et le placer dans une page Web pouvait attaquer.

Ebrahim Hegazy a signalé la faille à Paypal le 19 juin dernier. Celle-ci ne serait corrigée que depuis le 24 août dernier, à en croire le blog de Zigoo0 qui va toucher une récompense bien méritée du programme Bug Bounty de Paypal.

La vidéo ci-dessous démontre cette attaque XSS.