Technologie i Firma

PayPal - był sposób na ominięcie uwierzytelnienia

przeczytasz w 1 min.

Dwuetapowe uwierzytelnienie może pozytywnie wpłynąć na bezpieczeństwo naszych pieniądze. Może, o ile drugi etap jest wymagany...

Specjalista ds. cyberbezpieczeństwa Henry Hoggard siedział ostatnio w hotelu, gdzie musiał dokonać pewnej płatności. Niestety nie było zasięgu komórkowego i na telefon Brytyjczyka nie przychodził jednorazowy kod uwierzytelniający od PayPala. – „Na szczęście dla mnie, ominięcie dwuetapowego zabezpieczenia stosowanego przez PayPal zajęło niecałe pięć minut”, napisał później na swoim blogu.

Tak, dobrze przeczytaliście – niecałe pięć minut. Jak to możliwe? Ominięcie zabezpieczenia okazało się banalnie proste. Zacznijmy od początku: istnieje kilka możliwości uzyskania uwierzytelnienia na PayPalu. Podstawowa to wpisanie swojego numeru telefonu i oczekiwanie na jednorazowy kod. Inna polega na odpowiedzeniu na dwa pytania pomocnicze. Okazuje się jednak, że na te ostatnie wcale odpowiadać nie trzeba.

Hoggard wykorzystał proxy i usunął w komunikacji HTTP dwa proste parametry: „securityQuestion 0” i „securityQuestion1”. Efekt: „twoje konto jest zweryfikowane! Dziękujemy”.  I to by było na tyle.

PayPal luka

Jak na specjalistę ds. cyberbezpieczeństwa przystało, Hoggard najpierw poinformował o tym niedopatrzeniu administrację PayPala. Zgłoszenie zostało wysłane 3 października, a 4 rozpoczęła się weryfikacja. 21 października PayPal poinformował o załataniu luki i podziękował (nagrodą pieniężną) Hoggardowi.

Źródło: henryhoggard, PayPal

Komentarze

6
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    scooby
    4
    Bardzo fajne sie gosc zachowal no i PayPal.
    Dziwi mnie tylko ze tak duza firma jak payPal a nie robia analizy skutkow mozliwych bledow przy swoich zabezpieczeniach.
    Do autora - jest tez trzecia forma autoryzacji za pomoca generatora kluczy ktory jest dostepny od PayPal, ten sam moze byc wykorzystywany do logowania eBay'a.
    • avatar
      gormar
      1
      Dobrze straszycie tym tytułem, a powinien brzmieć: "PayPal - był sposób na ominięcie drugiego etapu uwierzytelnienia".

      Ja akurat nie mam ustawionych pytań pomocniczych. To jest zbyt łatwo wydedukować dzięki socjotechnice.