Эксперты: Двухфакторную аутентификацию в PayPal можно с легкостью обойти
Уязвимыми являются мобильные приложения для iOS и Android, сообщающие об ошибке при входе пользователя в учетную запись, где активирована двухфакторная аутентификация.
Исследователи из Duo Security сообщили об уязвимости, позволяющей обойти двухфакторную аутентификацию в PayPal. Более того, по их словам, брешь в системе Security Key существует уже несколько лет.
Уязвимыми являются мобильные приложения для iOS и Android, сообщающие об ошибке при входе пользователя в учетную запись, где активирована двухфакторная аутентификация. Эксперты обнаружили, что они могут манипулировать ответом сервера и создать видимость того, что данная функция в целевой учетной записи отключена.
«Уязвимость напрямую связана с ошибкой аутентификации в web-сервисе PayPal API (api.paypal.com), который используется в официальных мобильных приложениях PayPal и некоторых сторонних компаний», - сообщил исследователь из Duo Security Зак Ланье (Zach Lanier).
Как сообщает издание Forbes, уязвимость впервые была обнаружена Дэном Солтманом (Dan Saltman) из EverydayCarry, который сообщил он ней PayPal 29 марта текущего года в рамках программы по выплате вознаграждений за найденные бреши. Однако он не получил ответа от компании, поэтому обратился к исследователям из Duo Security, которые разработали концепт эксплоита. Эксперты создали скрипт, использующий API для доступа к учетным записям в PayPal и перевода средств с любого компьютера.
Стоит отметить, что PayPal заявила о намерении выпустить исправление уязвимости 28 июня нынешнего года.
Тени в интернете всегда следят за вами