Эксперты заявляют о том, что двухфакторную авторизацию в платежной системе PayPal, подразумевающую ввод PIN-кода из полученного смс-сообщения, можно легко обойти. Злоумышленники могут получить доступ к электронному кошельку, зная только связку из логина и пароля от учетных записей в PayPal и eBay. Об этом сообщает PCWorld.
Джошуа Роджерс, 17-летний хакер из Автралии, нашел способ обойти защиту и получить доступ к системе при помощи только логина и пароля от аккаунтов в PayPal и eBay. Получить эти данные из зараженного компьютера проще, чем перехватить цифровую комбинацию. Погрешность кроется на странице eBay. Пользователь имеет возможность связать два аккаунта в PayPal и eBay, в результате чего создается cookie-файл. Последний «внушает» PayPal, что пользователь уже авторизовался в системе, несмотря на то, что PIN-код, который должен поступить в смс-сообщении, не был введен.
Как заявляет Роджерс, он уже сообщил в администрацию PayPal об уязвимости, однако никакой реакции не последовало. После этого юный хакер сообщил о «дыре» в PayPal в своем блоге.
Payspace Magazine удалось получить комментарий от пресс-службы компании PayPal:
«Мы знаем о существовании проблемы с 2-факторной авторизацией (2FA), которая ограничивается небольшим количеством интеграций с адаптивными платежами. 2-факторная авторизация — это дополнительный уровень защиты, который некоторые пользователи добавляют к своему счету PayPal. Мы работаем над тем, чтобы исправить ошибку как можно быстрее. Важно отметить, что 2-факторная авторизация – это дополнительный фактор защиты счета, и она не отменяет необходимость использования логина и пароля для доступа к счету PayPal.
Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по СМС) для доступа к своим счетам. Если у вас установлена 2-этапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся 2-факторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением.»
Двухфакторная авторизация используется на многих крупных сайтах, включая Twitter, Facebook, Google и «ВКонтакте». Двухуровневую защиту часто применяют и онлайн-банки для одобрения транзакций с высокой степенью риска. Обычно код приходит в виде СМС на номер телефона либо формируется внутри мобильного приложения.
