Hackers kunnen via PayPal hun geld verdubbelen
PayPal bevat een kwetsbaarheid waarmee cybercriminelen relatief eenvoudig geld kunnen verdienen. Hackers kunnen met behulp van meerdere PayPal-accounts PayPal geld ten onrechte laten terugbetalen, waarna zij hun geld hebben verdubbeld.
Het probleem is ontdekt door de beveiligingsonderzoeker Razvan Cernaianu. Cybercriminelen hebben drie accounts bij PayPal nodig om de kwetsbaarheid te kunnen misbruiken. De hacker maakt twee accounts aan met behulp van virtuele creditcards, die niet zijn terug te leiden naar hem als persoon. Het derde account hoeft niet aan een virtuele creditcard te zijn gekoppeld.
Geld wegsluizen
De aanvaller schrijft vervolgens een geldbedrag, bijvoorbeeld 100 dollar, over van zijn eerste PayPal-rekening naar zijn tweede account. Vanaf dit tweede account stuurt hij vervolgens deze 100 dollar als gift door naar een derde PayPal-account. Na 24 uur dient de hacker vervolgens bij PayPal een verzoek in om zijn geld terug te krijgen via de zogeheten 'chargeback'-functie. Dit is een functie bedoeld om klanten te beschermen te verkopers die producten niet leveren.
Zodra de chargeback-functie wordt gebruikt wordt de zaak in behandeling genomen bij PayPal. De betalingsverwerker vraagt zowel de verkoper als koper (in dit geval één en dezelfde persoon) bewijs aan te leveren om hun onschuld te bewijzen. De hacker levert in dit geval alleen vanaf zijn eerste PayPal-account bewijs aan dat het gekochte product nooit is geleverd. Vanaf het tweede account onderneemt hij geen actie.
Schadevergoeding
Aangezien het tweede account geen bewijzen aanlevert beslist PayPal in dit geval dat het eerste account zijn geld terug moet krijgen. PayPal maakt daarom 100 dollar over naar het eerste account, waarna deze 100 dollar wordt afgeschreven op de rekening van het tweede account. Dit account is echter gekoppeld aan een virtuele creditcard, waardoor dit bedrag niet door PayPal kan worden geïnd. De rekening van het tweede PayPal-account krijgt dan ook een negatieve balans. De hacker heeft in dit geval zijn geld verdubbeld. Hij heeft immers 100 dollar ontvangen op zijn eerste PayPal-account, terwijl hij dit bedrag ook al had weggezet op het derde PayPal-account.
PayPal is op de hoogte gesteld van het probleem, maar ontkent dat het gaat om een kwetsbaarheid. Het bedrijf erkent dat de vorm van oplichting in zijn betalingssysteem mogelijk is. PayPal stelt herhaaldelijk misbruik van PayPal-accounts actief aan te pakken, maar neemt dus geen directe maatregelen om deze vorm van misbruik onmogelijk te maken.