Джошуа Роджерс, 17-летний хакер из Австралии, заявил о наличии серьезной прорехи в платежной системе PayPal. Уязвимость позволяет злоумышленнику обойти двухфакторную авторизацию — усиленную защиту аккаунта, которая подразумевает ввод PIN-кода, приходящего в виде СМС. Для доступа к интернет-кошельку ему нужно знать только связку из логина и пароля от учетных записей в PayPal и eBay.
2-этапная авторизация есть на многих крупных сайтах, включая Twitter, Facebook (запрещена в РФ), Google и "ВКонтакте". Двухуровневую защиту часто применяют и онлайн-банки для одобрения транзакций с высокой степенью риска. Код, как правило, приходит в виде СМС на номер телефона либо формируется внутри мобильного приложения.
Роджерс нашел способ миновать защиту и войти в систему при помощи одних логина и пароля от аккаунтов в PayPal и eBay. Добыть их с зараженного компьютера гораздо проще, чем перехватить цифровую комбинацию. Ошибка содержится на странице интернет-аукциона, позволяющей связать аккаунты PayPal и eBay (дочерняя компания PayPal) друг с другом. В результате привязки создается cookie-файл, который и заставляет PayPal "думать", что пользователь авторизовался в системе, несмотря на то что 6-символьный PIN-код введен не был.
По словам Роджерса, он уведомил администрацию PayPal об уязвимости еще 5 июня, однако никакой реакции не получил. В результате хакер рассказал о "дыре" в своем блоге и приложил видеоинструкцию на YouTube. Компания пока не отреагировала на его действия.
Как отмечает PCWorld, есть и другие способы обойти 2-факторную авторизацию PayPal. Так, если у пользоваться нет возможности ввести PIN-код, ему предложат ответить на два контрольных вопроса. Они достаточно простые (к примеру, "Как называлась ваша первая школа?" или "Как назывался роддом, где вы родились?") и могут быть известны злоумышленнику, знакомому с жертвой.
Источник: PCWorld