Dvojfázovú ochranu PayPalu možno ľahko obísť

Bezpečnosť
0

paypal.jpg Bezpečnostný nástroj, ktorý má chrániť používateľské kontá služby PayPal pred zneužitím, je podľa zistení austrálskeho výskumníka možné obísť.

Používatelia PayPalu si môžu vybrať, či chcú pre prístup k svojim účtom používať overenie pomocou šesťmiestneho kódu, ktorý dostane formou textovej správy. Pole pre vloženie tohto kódu sa objaví až po správnom zadaní užívateľského mena a hesla.

Bezpečnostný nástroj, ktorý je známy ako dvojfázová autentizácia, ponúka čoraz viac prevádzkovateľov online služieb ako napríklad Google a v prípade mnohých finančných služieb ide v podstate o nevyhnutnú vec. Keďže je kód zasielaný offline alebo generovaný mobilnou aplikáciou, je pre hackerov veľmi ťažké ho získať. Nie však nemožné.

Joshua Rogers, sedemnásťročný chlapec z austrálskeho Melbourne, prišiel na spôsob, ako získať prístup k účtom používajúcim dvojfázovú autentizáciu. Detaily svojho útoku zverejnil na svojom blogu po tom, čo PayPal napriek jeho upozorneniu chybu ani po mesiaci neopravil.

Tým, že Rogers vyšiel s chybou von, príde o odmenu, ktorú PayPal zvyčajne vypláca bezpečnostným výskumníkom za nájdenie a upozornenie na zraniteľnosti. Údajne si mohol prísť až na 3 tisíc dolárov. "Na peniazoch mi nezáleží. V živote ide oveľa o viac," napísal Rogers.

Na vykonanie útoku musí hacker poznať prístupové údaje užívateľa k účtom na službách eBay a PayPal. Pre škodlivé programy však nie je zase tak zložité ich získať.

Hlavný problém je na webovej stránke eBay, ktorá užívateľom umožňuje prepojiť účty oboch služieb. Prepojením účtov totiž dôjde k vytvoreniu cookie, vďaka ktorej si aplikácie PayPal myslia, že je používateľ prihlásený, hoci nezadal šesťmiestny kód. Funkcie vraj vôbec nezisťuje, či má používateľ dvojfázovú autentifikáciu zapnutú. Rogers zverejnil video útoku na YouTube.

Zástupcovia PayPalu sa k situácii zatiaľ nevyjadrili.

Zdroj: ComputerWorld

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať