Een kwetsbaarheid in de populaire betaaldienst PayPal maakte het mogelijk voor kwaadwillenden om willekeurige accounts via één muisklik over te nemen. Dat stelt de Egyptische beveiligingsonderzoeker Yasser Ali die het probleem ontdekte en aan PayPal rapporteerde.

De betaaldienst gebruikt een token om de acties van gebruikers te authenticeren. Het token wordt voor elke actie veranderd, maar Ali ontdekte dat de tokens voor de betreffende gebruiker kunnen worden hergebruikt. Een aanvaller die één van de tokens kan bemachtigen kan vervolgens acties in naam van een ingelogde gebruiker uitvoeren. Om een token te bemachtigen moet een aanvaller wel het e-mailadres van zijn slachtoffer weten.

Als de aanvaller bijvoorbeeld geld wil overmaken vraagt PayPal om het e-mailadres en wachtwoord. De aanvaller vult in dit geval het e-mailadres van het slachtoffer in en een willekeurig wachtwoord. Vervolgens vangt hij het request van PayPal op. In dit request bevindt zich namelijk het token dat kan worden hergebruikt om acties van de gebruiker te autoriseren. Verder ontdekte de onderzoeker ook nog een manier om de beveiligingsvraag via het onderschepte token te resetten om zo het wachtwoord te wijzigen.

Nadat Ali PayPal waarschuwde werd het lek snel verholpen. De onderzoeker, die als bewijs onderstaande video maakte, kreeg voor zijn melding een bedrag van 10.000 dollar, de maximale beloning die PayPal voor bugmeldingen uitlooft. Op zowel Hacker News als Reddit is kritiek op de beloning gekomen, aangezien de ernst van de kwetsbaarheid volgens critici een hoger bedrag zou rechtvaardigen.