17-летний австралиец смог обойти двухфакторную аутентификацию, реализуемую компанией PayPal для повышения безопасности учетных записей пользователей. Двухфакторная аутентификация представляет собой ввод специального кода вместе с логином и паролем при входе на сайт. Поскольку код отправляется на мобильный телефон в виде СМС или генерируется специальным приложением, его перехват почти невозможен. Но Джошуа Роджерс (Joshua Rogers), 17-летний подросток из Мельбурна, Австралия, смог обойти систему защиты и получить доступ к учетной записи PayPal, защищенной с помощью двухфакторной аутентификации. Об этом он написал в своем блоге в понедельник, 4 августа 2014 года. Опубликовав подробности уязвимости, Роджерс автоматически отказался от 3 тысяч долларов вознаграждения, которое ему должны были выплатить представители PayPal взамен на неразглашение деталей атаки. Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal. Уязвимость кроется в том, что eBay позволяет пользователям привязывать свою учетную запись к аккаунту в PayPal. При этом создается cookie-файл, который заставляет сайт PayPal считать, что пользователь успешно вошел в систему. В этом случае код двухфакторной аутентификации игнорируется. Проблемная функция в cookie-файле называется “=integrated-registration”. Она не проверяет, используется ли двухфакторная аутентификация, подвергая таким образом риску учетную запись пользователя. Известны и другие способы обхода системы безопасности. К примеру, если пользователь по какой-то причине не может получить код аутентификации, PayPal позволяет пропустить его, ответив взамен на два секретных вопроса. Но любой опытный хакер, знакомый с принципами социального инжиниринга, может узнать ответы на эти вопросы. Роджерс и раньше обнаруживал бреши в online-сервисах. В прошлом месяце он получил предупреждение от полиции за раскрытие уязвимости на сайте общественного транспорта штата Виктория. [Обновление] Как сообщили порталу SecurityLab представители PayPal, компания осведомлена о наличии проблемы. По утверждениям пресс-службы, сейчас компания активно работает над устранением ошибки. «Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по СМС) для доступа к своим счетам. Если у вас установлена 2-этапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся 2-факторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением», - отметили в пресс-службе компании.
