Image
7.8.2014 0 Comments

Dvojfázovú ochranu PayPalu možno ľahko obísť

paypal.jpg Bezpečnostný nástroj, ktorý má chrániť používateľské kontá služby PayPal pred zneužitím, je podľa zistení austrálskeho výskumníka možné obísť.

Používatelia PayPalu si môžu vybrať, či chcú pre prístup k svojim účtom používať overenie pomocou šesťmiestneho kódu, ktorý dostane formou textovej správy. Pole pre vloženie tohto kódu sa objaví až po správnom zadaní užívateľského mena a hesla.

Bezpečnostný nástroj, ktorý je známy ako dvojfázová autentizácia, ponúka čoraz viac prevádzkovateľov online služieb ako napríklad Google a v prípade mnohých finančných služieb ide v podstate o nevyhnutnú vec. Keďže je kód zasielaný offline alebo generovaný mobilnou aplikáciou, je pre hackerov veľmi ťažké ho získať. Nie však nemožné.

Joshua Rogers, sedemnásťročný chlapec z austrálskeho Melbourne, prišiel na spôsob, ako získať prístup k účtom používajúcim dvojfázovú autentizáciu. Detaily svojho útoku zverejnil na svojom blogu po tom, čo PayPal napriek jeho upozorneniu chybu ani po mesiaci neopravil.

Tým, že Rogers vyšiel s chybou von, príde o odmenu, ktorú PayPal zvyčajne vypláca bezpečnostným výskumníkom za nájdenie a upozornenie na zraniteľnosti. Údajne si mohol prísť až na 3 tisíc dolárov. "Na peniazoch mi nezáleží. V živote ide oveľa o viac," napísal Rogers.

Na vykonanie útoku musí hacker poznať prístupové údaje užívateľa k účtom na službách eBay a PayPal. Pre škodlivé programy však nie je zase tak zložité ich získať.

Hlavný problém je na webovej stránke eBay, ktorá užívateľom umožňuje prepojiť účty oboch služieb. Prepojením účtov totiž dôjde k vytvoreniu cookie, vďaka ktorej si aplikácie PayPal myslia, že je používateľ prihlásený, hoci nezadal šesťmiestny kód. Funkcie vraj vôbec nezisťuje, či má používateľ dvojfázovú autentifikáciu zapnutú. Rogers zverejnil video útoku na YouTube.

Zástupcovia PayPalu sa k situácii zatiaľ nevyjadrili.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá