Een bug in de online betaaldienst PayPal maakt het mogelijk voor webshops om elk willekeurig bedrag af te rekenen nadat de klant zijn bevestiging voor een ander bedrag heeft gegeven. Zodoende denkt de klant dat hij iets voor 1 euro koopt, terwijl de webshop bijvoorbeeld 200 euro afrekent.
De klant krijgt echter alleen de bevestigingsmail van PayPal dat er 200 euro in rekening is gebracht. Het probleem speelt bij het gebruik van de PayPal Express Checkout, zo stelt de Duitse beveiligingsonderzoeker Jan Kechel. Hierbij bevestigt de klant in zijn PayPal-omgeving een betaling en denkt afgerekend te hebben. Na de betaling via PayPal wordt de gebruiker terug naar de webshop gestuurd, waar een andere functie wordt aangeroepen die het mogelijk maakt om een ander bedrag in rekening te brengen, zonder dat de klant hiervoor toestemming heeft gegeven.
Kechel ontdekte het probleem en rapporteerde dit bij PayPal. De betaaldienst stelde dat het niet om een bug gaat maar "bedoeld gedrag", vanwege kleine verschillen in transportkosten en dergelijke. De onderzoeker vindt dat PayPal echter alle bedragen hoger dan het bevestigde bedrag opnieuw door de klant moet laten bevestigen. Als bewijs maakte Kechel deze demonstratie.
Deze posting is gelocked. Reageren is niet meer mogelijk.