Эксперт: двухфакторную авторизацию PayPal легко обойти

Джошуа Роджерс, 17-летний хакер из Австралии, заявил о наличии серьезной прорехи в платежной системе PayPal. Уязвимость позволяет злоумышленнику обойти двухфакторную авторизацию — усиленную защиту аккаунта, которая подразумевает ввод PIN-кода, приходящего в виде СМС. Для доступа к интернет-кошельку ему нужно знать только связку из логина и пароля от учетных записей в PayPal и eBay.

n_10716

2-этапная авторизация есть на многих крупных сайтах, включая Twitter, Facebook, Google и «ВКонтакте». Двухуровневую защиту часто применяют и онлайн-банки для одобрения транзакций с высокой степенью риска. Код, как правило, приходит в виде СМС на номер телефона либо формируется внутри мобильного приложения.

Роджерс нашел способ миновать защиту и войти в систему при помощи одних логина и пароля от аккаунтов в PayPal и eBay. Добыть их с зараженного компьютера гораздо проще, чем перехватить цифровую комбинацию. Ошибка содержится на странице интернет-аукциона, позволяющей связать аккаунты PayPal и eBay (дочерняя компания PayPal) друг с другом. В результате привязки создается cookie-файл, который и заставляет PayPal «думать», что пользователь авторизовался в системе, несмотря на то что 6-символьный PIN-код введен не был.

По словам Роджерса, он уведомил администрацию PayPal об уязвимости еще 5 июня, однако никакой реакции не получил. В результате хакер рассказал о «дыре» в своем блоге и приложил видеоинструкцию на YouTube. Компания пока не отреагировала на его действия.

Как отмечает PCWorld, есть и другие способы обойти 2-факторную авторизацию PayPal. Так, если у пользоваться нет возможности ввести PIN-код, ему предложат ответить на два контрольных вопроса. Они достаточно простые (к примеру, «Как называлась ваша первая школа?» или «Как назывался роддом, где вы родились?») и могут быть известны злоумышленнику, знакомому с жертвой.

Источник: PCWorld

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: