Qu'il s'agisse des forums de Paypal ou de Twitter, un nombre grandissant d'utilisateurs signale actuellement la découverte d'une faille dans le système de paiement en ligne.
Les préjudices sont parfois limités à des prélèvements de quelques euros, mais pour certains utilisateurs cela dépasse allégrement les 1000 euros affichés dans leur historique Paypal alors que ces derniers n'ont rien acheté ni même validé aucune transaction.
La faille est bien localisée, elle se situe dans l'intégration Google Pay au sein de Paypal et ne concernerait pour l'instant que des utilisateurs allemands. Les achats frauduleux ont été réalisés sur des boutiques américaines exclusivement.
La situation est d'autant plus intolérable qu'un chercheur en sécurité allemand avait déjà signalé la faille en question l'année dernière à Paypal, sans que le groupe ne prenne le soin de corriger le tir. L'association d'un compte Google Pay à un compte Paypal est au coeur de cette faille : elle crée une carte virtuelle dotée de son propre numéro et date d'expiration, mais ces données peuvent être récupérées par des pirates qui exploitent les informations pour réaliser des achats, principalement sur la boutique Target aux USA.
Paypal a indiqué prendre la situation au sérieux désormais, un correctif pourrait être déployé dans les jours qui viennent. Quant aux victimes, elles devraient être remboursées des achats frauduleux réalisés à leur insu.
