Dvoufázovou ochranu PayPalu lze snadno obejít

6. 8. 2014

Sdílet

 Autor: © Nmedia - Fotolia.com
Bezpečnostní nástroj, který má chránit uživatelské účty služby PayPal před zneužitím, je podle zjištění australského výzkumníka možné obejít.

Uživatelé PayPalu si mohou vybrat, zda chtějí pro přístup ke svým účtům používat ověření pomocí šestimístného kódu, který obdrží formou textové zprávy. Pole pro vložení tohoto kódu se objeví teprve po správném zadání uživatelského jména a hesla.

Bezpečností nástroj, který je znám jako dvoufázová autentizace, nabízí stále více provozovatelů online služeb jako třeba Google a v případě mnoha finančních služeb jde v podstatě o nezbytnou věc. Jelikož je kód zasílán offline nebo generován mobilní aplikací, je pro hackery velmi těžké jej získat. Nikoliv však nemožné.

Joshua Rogers, sedmnáctiletý hoch z australského Melbourne, přišel na způsob, jak získat přístup k účtům používajícím dvoufázovou autentizaci. Detaily svého útoku zveřejnil na svém blogu poté, co PayPal navzdory jeho upozornění chybu ani po měsíci neopravil.

Tím, že Rogers vyšel s chybou ven, přijde o odměnu, kterou PayPal obvykle vyplácí bezpečnostním výzkumníkům za nalezení a upozornění na zranitelnosti. Údajně si mohl přijít až na 3 tisíce dolarů. „Na penězích mi nezáleží. V životě jde mnohem o víc,“ napsal Rogers.

K provedení útoku musí hacker znát přístupové údaje uživatele k účtům na službách eBay a PayPal. Pro škodlivé programy však není zase tak složité je získat.

Hlavní problém je na webové stránce eBay, která uživatelům umožňuje propojit účty obou služeb. Propojením účtů totiž dojde k vytvoření cookie, díky které si aplikace PayPal myslí, že je uživatel přihlášen, přestože nezadal šestimístný kód. Funkce prý vůbec nezjišťuje, jestli má uživatel dvoufázovou autentizaci zapnutou. Rogers zveřejnil video útoku na YouTube.

bitcoin školení listopad 24

Zástupci PayPalu se k situaci zatím nevyjádřili.