0 |
17-летний подросток из Мельбурна (Австралия) Джошуа Роджерс (Joshua Rogers), смог обойти систему двухфакторной идентификации PayPal, используемую для повышения безопасности учетных записей пользователей. Подробности взлома были опубликованы в персональном блоге юного исследователя, таким образом, он потерял право на материальное вознаграждение за найденную уязвимость (около $3000).
Двухфакторная идентификация PayPal требует ввода имени пользователя и пароля, а после — шестизначного цифрового кода, переданного в текстовом сообщении. Для обхода этой системы хакеру требуется знать логин и пароль от учетных записей жертвы в eBay и PayPal, что, впрочем, не составляет проблемы принимая во внимание доступность зловредов, занимающихся сбором персональных данных. Метод взлома использует возможность пользователей eBay привязывать свою учетную запись к учетной записи PayPal: в этом случае создается куки-файл, который сообщает PayPal об успешном ходе в систему. Дело в том, что имеющаяся в куки-файле функция «=integrated-registration» не проверяет, должна ли применяться к данной учетной записи система двухфакторной аутентификация, и игнорирует код последней.
Нужно отметить, что это не первая уязвимость, найденная Джошуа Роджерсом. Месяцем ранее он обнаружил «дыру» в базе данных транспортной системы штата Виктория (Public Transport Victoria, PTV), которая позволила получить доступ к персональным данным 600 тыс записей (логины, пароли, почтовые и электронные адреса, номера телефонов, номера карт соцстрахования и кредитных карт). Юный хакер проинформировал PTV об имеющейся проблеме и не пытался получить прибыль от взлома БД, тем не менее проверкой инцидента занималась полиция.
Дополнение. Вскоре после появления новости о выявленной уязвимости компания PayPal распространила свой комментарий по этому поводу:
«Мы знаем о существовании проблемы с двухфакторной авторизацией (2FA), которая ограничивается небольшим количеством интеграций с адаптивными платежами. двухфакторная авторизация – это дополнительный уровень защиты, который некоторые пользователи добавляют к своему счету PayPal. Мы работаем над тем, чтобы исправить ошибку как можно быстрее. Важно отметить, что двухфакторная авторизация – это дополнительный фактор защиты счета, и она не отменяет необходимость использования логина и пароля для доступа к счету PayPal.
Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по SMS) для доступа к своим счетам. Если у вас установлена двухэтапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся двухфакторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением».
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |