Image
7.8.2014 0 Comments

Dvojfázovú ochranu PayPalu možno ľahko obísť

paypal.jpg Bezpečnostný nástroj, ktorý má chrániť používateľské kontá služby PayPal pred zneužitím, je podľa zistení austrálskeho výskumníka možné obísť.

Používatelia PayPalu si môžu vybrať, či chcú pre prístup k svojim účtom používať overenie pomocou šesťmiestneho kódu, ktorý dostane formou textovej správy. Pole pre vloženie tohto kódu sa objaví až po správnom zadaní užívateľského mena a hesla.

Bezpečnostný nástroj, ktorý je známy ako dvojfázová autentizácia, ponúka čoraz viac prevádzkovateľov online služieb ako napríklad Google a v prípade mnohých finančných služieb ide v podstate o nevyhnutnú vec. Keďže je kód zasielaný offline alebo generovaný mobilnou aplikáciou, je pre hackerov veľmi ťažké ho získať. Nie však nemožné.

Joshua Rogers, sedemnásťročný chlapec z austrálskeho Melbourne, prišiel na spôsob, ako získať prístup k účtom používajúcim dvojfázovú autentizáciu. Detaily svojho útoku zverejnil na svojom blogu po tom, čo PayPal napriek jeho upozorneniu chybu ani po mesiaci neopravil.

Tým, že Rogers vyšiel s chybou von, príde o odmenu, ktorú PayPal zvyčajne vypláca bezpečnostným výskumníkom za nájdenie a upozornenie na zraniteľnosti. Údajne si mohol prísť až na 3 tisíc dolárov. "Na peniazoch mi nezáleží. V živote ide oveľa o viac," napísal Rogers.

Na vykonanie útoku musí hacker poznať prístupové údaje užívateľa k účtom na službách eBay a PayPal. Pre škodlivé programy však nie je zase tak zložité ich získať.

Hlavný problém je na webovej stránke eBay, ktorá užívateľom umožňuje prepojiť účty oboch služieb. Prepojením účtov totiž dôjde k vytvoreniu cookie, vďaka ktorej si aplikácie PayPal myslia, že je používateľ prihlásený, hoci nezadal šesťmiestny kód. Funkcie vraj vôbec nezisťuje, či má používateľ dvojfázovú autentifikáciu zapnutú. Rogers zverejnil video útoku na YouTube.

Zástupcovia PayPalu sa k situácii zatiaľ nevyjadrili.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá