Australijski tester bezpieczeństwa Joshua Rogers informuje, że znalazł sposób na infiltrowanie konta PayPal mimo dwuelementowego zabezpieczenia uwierzytelniania, podaje PC World.


5 czerwca 2014 roku znalazłem pełne obejście serwisu Paypal 2FA, dzięki któremu każdy jest w stanie uzyskać dostęp do konta Paypal, które posiada konfigurację 2FA, jedynie poprzez zalogowanie się przez 'specjalną’ stronę Paypal”, tester poinformował na swoim blogu.

Podczas łączenia konta PayPal z kontem na serwisie eBay, użytkownicy są proszeni o zalogowanie się przy użyciu swoich danych i przekierowani do strony potwierdzającej tożsamość. Dzięki plikom cookies przechowywane są dane rejestracyjne, w wypadku gdy użytkownik przeładuje stronę www.paypal.com przed ponownym zalogowaniem, pozostanie zalogowany w serwisie bez potrzeby ponownego wpisywania danych oraz potwierdzenia kodu bezpieczeństwa potrzebnego do zweryfikowania tożsamości.

Tester postanowił upublicznić te informacje, gdy nie otrzymał odpowiedzi, po zaalarmowaniu PayPal o problemie uwierzytelniania.

źródło: PC World

Kan