курс цб на 17.12:
58.8987
69.4298

Хакер обошел механизм двухфакторной аутентификации PayPal

7 августа 2014 11:11 Количество просмотров55 просмотров

Двухфакторная аутентификация представляет собой ввод специального кода вместе с логином и паролем при входе на сайт. Поскольку код отправляется на мобильный телефон в виде СМС или генерируется специальным приложением, его перехват почти невозможен. 

Но Джошуа Роджерс (Joshua Rogers), 17-летний подросток из Мельбурна, Австралия, смог обойти систему защиты и получить доступ к учетной записи PayPal, защищенной с помощью двухфакторной аутентификации. Об этом он написал в своем блоге в понедельник, 4 августа 2014 года. Опубликовав подробности уязвимости, Роджерс автоматически отказался от 3 тысяч долларов вознаграждения, которое ему должны были выплатить представители PayPal взамен на неразглашение деталей атаки. 
Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal. Уязвимость кроется в том, что eBay позволяет пользователям привязывать свою учетную запись к аккаунту в PayPal. При этом создается cookie-файл, который заставляет сайт PayPal считать, что пользователь успешно вошел в систему. В этом случае код двухфакторной аутентификации игнорируется. Проблемная функция в cookie-файле называется “=integrated-registration”. Она не проверяет, используется ли двухфакторная аутентификация, подвергая таким образом риску учетную запись пользователя. Известны и другие способы обхода системы безопасности. К примеру, если пользователь по какой-то причине не может получить код аутентификации, PayPal позволяет пропустить его, ответив взамен на два секретных вопроса. Но любой опытный хакер, знакомый с принципами социального инжиниринга, может узнать ответы на эти вопросы. Роджерс и раньше обнаруживал бреши в online-сервисах. В прошлом месяце он получил предупреждение от полиции за раскрытие уязвимости на сайте общественного транспорта штата Виктория.  
По утверждениям пресс-службы, сейчас компания активно работает над устранением ошибки. «Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по СМС) для доступа к своим счетам. Если у вас установлена 2-этапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся 2-факторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением», — отметили в пресс-службе компании. 
По материалам Security Lab




В рубриках:
Безопасность
Лента новостей
Безопасность
Digital banking Big Data в банкинге. Мифы и реальность
14 декабря 2017 14:03
Количество просмотров 272 просмотра
Мероприятия PRIVATE MONEY 2017: итоги форума
14 декабря 2017 10:39
Количество просмотров 144 просмотра
Digital banking Британцы выбирают цифровой банкинг
13 декабря 2017 13:01
Количество просмотров 195 просмотров
Регуляторы ЦБ приобрел 99,9% акций ФК «Открытие»
11 декабря 2017 15:30
Количество просмотров 439 просмотров
Банки и МФО Тинькофф Мобайл запустят 13 декабря
11 декабря 2017 15:07
Количество просмотров 478 просмотров
Банки и МФО Онлайн-заемщики МФО предпочитают Apple
11 декабря 2017 11:39
Количество просмотров 217 просмотров