Paypal игнорирует обнаруженную ошибку, которая позволяет любому обойти двухфакторную аутентификацию

05/08/2014
Paypal игнорирует обнаруженную ошибку, которая позволяет любому обойти двухфакторную аутентификацию

Исследователь безопасности обнаружил способ обойти два фактора аутентификации системы PayPal и взломать счета. Он отметил, что еще 5 июня 2014 года он нашел полноценный обход двухфакторной аутентификации Paypal – для этого достаточно зайти через «особую» страницу PayPal.

Спустя 2 месяца бездействия исследователь Джошуа решил сообщил о найденной ошибке публично. Баг был обнаружен случайно, когда Роджерс исследовал, как выглядит связь между Paypal и eBay, как привязывается счет в PayPal и аккаунт на eBay, и как работает автоматических выход из учетной записи в PayPal.

При привязке аккаунтов в PayPal и eBay, вы перенаправляетесь на страницу авторизации. Там есть элемент "=_integrated-registration". Он используется исключительно для связи eBay и PayPal, и после того как человек входит в систему, cookies запоминают ваши данные. Фактическая ошибка находится как раз в функции "=_integrated-registration", которая не проверяет двухфакторную авторизацию, не смотря на регистрацию в PayPal. Таким образом, заходить под чужими данными в систему можно множество раз, чем могут воспользоваться мошенники. Правда, PayPal так и не прокомментировала найденную ошибку.


Источник: «Elmoney»

932
Комментарии
Добавить комментарий

Яндекс.Метрика