Przejdź na

PayPal - był sposób na ominięcie uwierzytelnienia

Dwuetapowe uwierzytelnienie może pozytywnie wpłynąć na bezpieczeństwo naszych pieniądze. Może, o ile drugi etap jest wymagany...

Image
Wojciech Kulik

Specjalista ds. cyberbezpieczeństwa Henry Hoggard siedział ostatnio w hotelu, gdzie musiał dokonać pewnej płatności. Niestety nie było zasięgu komórkowego i na telefon Brytyjczyka nie przychodził jednorazowy kod uwierzytelniający od PayPala. – „Na szczęście dla mnie, ominięcie dwuetapowego zabezpieczenia stosowanego przez PayPal zajęło niecałe pięć minut”, napisał później na swoim blogu.

Tak, dobrze przeczytaliście – niecałe pięć minut. Jak to możliwe? Ominięcie zabezpieczenia okazało się banalnie proste. Zacznijmy od początku: istnieje kilka możliwości uzyskania uwierzytelnienia na PayPalu. Podstawowa to wpisanie swojego numeru telefonu i oczekiwanie na jednorazowy kod. Inna polega na odpowiedzeniu na dwa pytania pomocnicze. Okazuje się jednak, że na te ostatnie wcale odpowiadać nie trzeba.

Hoggard wykorzystał proxy i usunął w komunikacji HTTP dwa proste parametry: „securityQuestion 0” i „securityQuestion1”. Efekt: „twoje konto jest zweryfikowane! Dziękujemy”.  I to by było na tyle.

PayPal luka

Jak na specjalistę ds. cyberbezpieczeństwa przystało, Hoggard najpierw poinformował o tym niedopatrzeniu administrację PayPala. Zgłoszenie zostało wysłane 3 października, a 4 rozpoczęła się weryfikacja. 21 października PayPal poinformował o załataniu luki i podziękował (nagrodą pieniężną) Hoggardowi.

Źródło: henryhoggard, PayPal

Wybrane dla Ciebie
YouTube bierze się za treści AI. Są nowe zasady
YouTube bierze się za treści AI. Są nowe zasady
007 First Light już dostępne. Gracze są zgodni: to najlepszy Bond od lat
007 First Light już dostępne. Gracze są zgodni: to najlepszy Bond od lat
Ameryka stawia na kwantową przyszłość. IBM rusza z budową przełomowej fabryki
Ameryka stawia na kwantową przyszłość. IBM rusza z budową przełomowej fabryki
Kup GeForce RTX 5090, dostaniesz złoto. Gigabyte rusza z nietypową promocją
Kup GeForce RTX 5090, dostaniesz złoto. Gigabyte rusza z nietypową promocją
benchmark ma niemal 30 lat. Czas na zmiany
benchmark ma niemal 30 lat. Czas na zmiany
Samsung pokazał wszystkie nowe telewizory, a ja je przetestowałem
Samsung pokazał wszystkie nowe telewizory, a ja je przetestowałem
To już oficjalne. Smartfony Samsunga ze zmianą w Galerii
To już oficjalne. Smartfony Samsunga ze zmianą w Galerii
Miliard dolarów, a gry wciąż nie ma. Star Citizen w nieskończonej produkcji
Miliard dolarów, a gry wciąż nie ma. Star Citizen w nieskończonej produkcji
Samsung zmieni nazewnictwo smartfonów? Wszystko przez składanego iPhone’a
Samsung zmieni nazewnictwo smartfonów? Wszystko przez składanego iPhone’a
Wielu czekało na taki ruch. MediaTek może pokazać nową generację laptopów
Wielu czekało na taki ruch. MediaTek może pokazać nową generację laptopów
Paralives już dostępne. Gracze rzucili się na "konkurenta Simsów"
Paralives już dostępne. Gracze rzucili się na "konkurenta Simsów"
Google otworzy portfel? Unia szykuje wielomilionową karę
Google otworzy portfel? Unia szykuje wielomilionową karę
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE