`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Исследователи обошли систему двухфакторной аутентификации PayPal

26 июня 2014 г., 10:24
+11
голос
Исследователи обошли систему двухфакторной аутентификации PayPal

Платежная система PayPal была одним из первых сервисов, внедривших двухфакторную аутентификацию пользователей, но оказывается, а ней есть дыра, которая позволяет хакерам обойти второй уровень защиты.

Двухфакторная аутентификация (2FA) предотвращает возможность использовать краденные имена пользователей и пароли: после проверки этих данных система требует ввести случайно сгенерированный одноразовый код безопасности, который, в зависимости от реализации, создается токеном либо специальным мобильным приложением, или передается в сообщении на связанный с учетной записью номер телефона.

Как выяснили исследователи из компании Duo Security, второй этап аутентификации PayPal достаточно просто обойти с помощью мобильного приложения сервиса и API. Дело в том, что мобильное приложение PayPal для платформ iOS и Android не поддерживает 2FA, безопасность доступа пользователей в учетную запись обеспечивает функция Security Key, которой уже после проверки логина-пароля передается сообщение о том, что для учетной записи включена функция 2FA. В режиме Airplane Mode на iOS непосредственно после входа в PayPal, можно блокировать отправку на аппарат сигнала о наличии в учетной записи 2FA, и мобильное приложение не будет заблокировано. Если через несколько секунд отключить Airplane Mode, доступ к учетной записи PayPal будет предоставлен без второго этапа аутентификации.

Далее, специалисты исследовали каким образом мобильное приложение PayPal взаимодействует с API аутентификации и выяснили, что даже для учетных записей с включенной опцией 2FA сервис создает уникальный токен сессии непосредственно после верного ввода логина-пароля. Затем этот токен можно использовать другим API для мобильного клиента и с его помощью подтверждать самые разные действия, в том числе и перевод денег. Таким образом, информации о логине и пароле достаточно для того, чтобы полностью завладеть учетной записью PayPal невзирая на двухфакторную аутентификацию.

Исследователи уже сообщили PayPal о найденной уязвимости, но, судя по всему, онлайновая платежная система недооценивает ее потенциал, поскольку в ответ Duo Security получила лишь сообщение, что все учетные записи клиентов находятся в полной безопасности.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT