Эксперт: двухфакторную авторизацию PayPal легко обойти

 Джошуа Роджерс, 17-летний хакер из Австралии, заявил о наличии серьезной прорехи в платежной системе PayPal. Уязвимость позволяет злоумышленнику обойти двухфакторную авторизацию — усиленную защиту аккаунта, которая подразумевает ввод PIN-кода, приходящего в виде СМС. Для доступа к интернет-кошельку ему нужно знать только связку из логина и пароля от учетных записей в PayPal и eBay. 2-этапная авторизация есть на многих крупных сайтах, включая Twitter, Facebook, Google и «ВКонтакте». Двухуровневую защиту часто применяют и онлайн-банки для одобрения транзакций с высокой степенью риска. Код, как правило, приходит в виде СМС на номер телефона либо формируется внутри мобильного приложения. Роджерс нашел способ миновать защиту и войти в систему при помощи одних логина и пароля от аккаунтов в PayPal и eBay. Добыть их с зараженного компьютера гораздо проще, чем перехватить цифровую комбинацию. Ошибка содержится на странице интернет-аукциона, позволяющей связать аккаунты PayPal и eBay (дочерняя компания PayPal) друг с другом. В результате привязки создается cookie-файл, который и заставляет PayPal «думать», что пользователь авторизовался в системе, несмотря на то что 6-символьный PIN-код введен не был. По словам Роджерса, он уведомил администрацию PayPal об уязвимости еще 5 июня, однако никакой реакции не получил. В результате хакер рассказал о «дыре» в своем блоге и приложил видеоинструкцию на YouTube. Компания пока не отреагировала на его действия. Как отмечает PCWorld, есть и другие способы обойти 2-факторную авторизацию PayPal. Так, если у пользоваться нет возможности ввести PIN-код, ему предложат ответить на два контрольных вопроса. Они достаточно простые (к примеру, «Как называлась ваша первая школа?» или «Как назывался роддом, где вы родились?») и могут быть известны злоумышленнику, знакомому с жертвой. Источник: PCWorld

Ссылка на источник

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.