Скрыть объявление
Для безопасных сделок с продавцами рекомендуем пользоваться Гарант сервисом

17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal

Тема в разделе "Новости СМИ", создана пользователем kis., 9/8/14.

  1. kis.

    kis. dark-service.xyz
    VIP

    Сообщения:
    1.643
    Симпатии:
    367
    17-летний австралиец смог обойти двухфакторную аутентификацию, реализуемую компанией PayPal для повышения безопасности учетных записей пользователей.

    Двухфакторная аутентификация представляет собой ввод специального кода вместе с логином и паролем при входе на сайт. Поскольку код отправляется на мобильный телефон в виде СМС или генерируется специальным приложением, его перехват почти невозможен.

    Но Джошуа Роджерс (Joshua Rogers), 17-летний подросток из Мельбурна, Австралия, смог обойти систему защиты и получить доступ к учетной записи PayPal, защищенной с помощью двухфакторной аутентификации. Об этом он написал в своем блоге в понедельник, 4 августа 2014 года.

    Опубликовав подробности уязвимости, Роджерс автоматически отказался от 3 тысяч долларов вознаграждения, которое ему должны были выплатить представители PayPal взамен на неразглашение деталей атаки.

    Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal. Уязвимость кроется в том, что eBay позволяет пользователям привязывать свою учетную запись к аккаунту в PayPal. При этом создается cookie-файл, который заставляет сайт PayPal считать, что пользователь успешно вошел в систему. В этом случае код двухфакторной аутентификации игнорируется.

    Проблемная функция в cookie-файле называется “=integrated-registration”. Она не проверяет, используется ли двухфакторная аутентификация, подвергая таким образом риску учетную запись пользователя.

    Известны и другие способы обхода системы безопасности. К примеру, если пользователь по какой-то причине не может получить код аутентификации, PayPal позволяет пропустить его, ответив взамен на два секретных вопроса. Но любой опытный хакер, знакомый с принципами социального инжиниринга, может узнать ответы на эти вопросы.

    Роджерс и раньше обнаруживал бреши в online-сервисах. В прошлом месяце он получил предупреждение от полиции за раскрытие уязвимости на сайте общественного транспорта штата Виктория.

    [Обновление] Как сообщили порталу SecurityLab представители PayPal, компания осведомлена о наличии проблемы. По утверждениям пресс-службы, сейчас компания активно работает над устранением ошибки.

    «Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по СМС) для доступа к своим счетам. Если у вас установлена 2-этапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся 2-факторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением», - отметили в пресс-службе компании.
     

Поделиться этой страницей