Betaaldienst PayPal heeft een ernstig beveiligingslek in de website gedicht waardoor kwaadwillenden accounts van willekeurige andere gebruikers konden opheffen, zonder enige interactie van het slachtoffer. Daarnaast was het mogelijk om het verwijderde account opnieuw te registreren. Dat laten onderzoekers van Vulnerability Lab weten, die PayPal op 27 april van dit jaar over het probleem informeerden.

De onderzoekers ontdekten dat het voor gebruikers met een Amerikaans account mogelijk was om een nieuw e-mailadres toe te voegen. Ook al was dit e-mailadres al door een andere gebruiker bij PayPal geregistreerd. In dit geval werd het toegevoegde e-mailadres als "onbevestigd" in het overzicht van e-mailadressen weergegeven.

Patch

Als de aanvaller dit onbevestigde e-mailadres van een andere geregistreerde PayPalgebruiker uit zijn eigen overzicht verwijderde, werd ook het PayPalaccount van deze gebruiker verwijderd. Vervolgens was het mogelijk om de naam van het verwijderde account opnieuw te registreren, hoewel het in dit geval om een "onbevestigd" account gaan.

Het bedrag van het originele maar verwijderde account werd daarbij niet overgezet. PayPal werd op 27 april van dit jaar ingelicht, waarna het lek op 20 augustus werd gepatcht, waarop de onderzoekers besloten hun bevindingen openbaar te maken.