Badacz bezpieczeństwa odkrywa obejście w dwuelementowym uwierzytelnianiu PayPal


2014-08-27
Australijski tester bezpieczeństwa Joshua Rogers informuje, że znalazł sposób na infiltrowanie konta PayPal mimo dwuelementowego zabezpieczenia uwierzytelniania, podaje PC World.

„5 czerwca 2014 roku znalazłem pełne obejście serwisu Paypal 2FA, dzięki któremu każdy jest w stanie uzyskać dostęp do konta Paypal, które posiada konfigurację 2FA, jedynie poprzez zalogowanie się przez 'specjalną' stronę Paypal”, tester poinformował na swoim blogu.

Podczas łączenia konta PayPal z kontem na serwisie eBay, użytkownicy są proszeni o zalogowanie się przy użyciu swoich danych i przekierowani do strony potwierdzającej tożsamość. Dzięki plikom cookies przechowywane  dane rejestracyjne, w wypadku gdy użytkownik przeładuje stronę www.paypal.com przed ponownym zalogowaniem, pozostanie zalogowany w serwisie bez potrzeby ponownego wpisywania danych oraz potwierdzenia kodu bezpieczeństwa potrzebnego do zweryfikowania tożsamości.

Tester postanowił upublicznić te informacje, gdy nie otrzymał odpowiedzi, po zaalarmowaniu PayPal o problemie uwierzytelniania.

Nadesłał:

Marken

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl