Een Roemeense beveiligingsonderzoeker claimt een kwetsbaarheid in de online betaaldienst PayPal te hebben ontdekt waardoor fraudeurs eenvoudig hun geld kunnen verdubbelen met medewerking van PayPal zelf. Het probleem wordt veroorzaakt door de chargebackfunctie.
Kopers kunnen via deze functie hun geld van PayPal terugkrijgen als een product bijvoorbeeld niet geleverd is. Door twee PayPal-accounts te gebruiken die via virtuele bankrekeningen of virtuele creditcards zijn geverifieerd stelt onderzoeker Razvan Cernaianu dat het mogelijk is om PayPal geld terug te laten storten, zonder dat de verkoper zijn geld verliest.
Virtuele creditcards worden door banken en creditcardmaatschappijen aangeboden en moeten shoppers tegen fraude beschermen. Het is mogelijk om PayPal-accounts aan te maken die aan deze virtuele creditcards gekoppeld zijn. Om de fraude bij de betaaldienst uit te voeren moet een PayPal-gebruiker zoals gezegd over drie accounts beschikken, waarvan er twee aan een virtuele creditcard zijn gekoppeld.
De fraudeur heeft bijvoorbeeld 500 dollar op zijn eerste PayPal-account staan. Hij maakt dit over naar een tweede account als betaling voor een telefoon. Vanaf het tweede account maakt hij het geld over naar het derde account als een gift. Na 24 uur gebruikt de fraudeur de chargebackfunctie van het eerste account om zijn geld terug te krijgen, door te stellen dat de telefoon niet is geleverd.
PayPal zal nu een proces starten waarbij beide partijen zich kunnen verdedigen. De fraudeur zal echter alleen bewijs van het eerste account terugsturen om aan te tonen dat hij is opgelicht. Na het proces zal PayPal het geld op zijn rekening terugstorten en zal het tweede account een negatieve balans van 500 dollar hebben. Deze tweede rekening is echter een virtuele rekening en heeft dus geen impact op de fraudeur, claimt de onderzoeker.
Op deze manier heeft de fraudeur zijn geld verdubbeld, aangezien hij ook nog de 500 dollar op zijn derde account heeft staan. Cernaianu meldde het probleem bij PayPal, maar kreeg te horen dat de betaaldienst het niet als een bug beschouwt. "Hoewel het misbruik dat hier wordt beschreven mogelijk is in ons systeem, wordt herhaaldelijk misbruik door dezelfde en of gekoppelde accounts aangepakt", aldus een reactie van PayPal.
Deze posting is gelocked. Reageren is niet meer mogelijk.