Uživatelé PayPalu si mohou vybrat, zda chtějí pro přístup ke svým účtům používat ověření pomocí šestimístného kódu, který obdrží formou textové zprávy. Pole pro vložení tohoto kódu se objeví teprve po správném zadání uživatelského jména a hesla.
Bezpečností nástroj, který je znám jako dvoufázová autentizace, nabízí stále více provozovatelů online služeb jako třeba Google a v případě mnoha finančních služeb jde v podstatě o nezbytnou věc. Jelikož je kód zasílán offline nebo generován mobilní aplikací, je pro hackery velmi těžké jej získat. Nikoliv však nemožné.
Joshua Rogers, sedmnáctiletý hoch z australského Melbourne, přišel na způsob, jak získat přístup k účtům používajícím dvoufázovou autentizaci. Detaily svého útoku zveřejnil na svém blogu poté, co PayPal navzdory jeho upozornění chybu ani po měsíci neopravil.
Tím, že Rogers vyšel s chybou ven, přijde o odměnu, kterou PayPal obvykle vyplácí bezpečnostním výzkumníkům za nalezení a upozornění na zranitelnosti. Údajně si mohl přijít až na 3 tisíce dolarů. „Na penězích mi nezáleží. V životě jde mnohem o víc,“ napsal Rogers.
K provedení útoku musí hacker znát přístupové údaje uživatele k účtům na službách eBay a PayPal. Pro škodlivé programy však není zase tak složité je získat.
Hlavní problém je na webové stránce eBay, která uživatelům umožňuje propojit účty obou služeb. Propojením účtů totiž dojde k vytvoření cookie, díky které si aplikace PayPal myslí, že je uživatel přihlášen, přestože nezadal šestimístný kód. Funkce prý vůbec nezjišťuje, jestli má uživatel dvoufázovou autentizaci zapnutou. Rogers zveřejnil video útoku na YouTube.
Zástupci PayPalu se k situaci zatím nevyjádřili.
PŘEDPLATNÉ
ČLÁNKY DO MAILU