Специалисты компании Duo Security обошли двухступенчатую систему авторизации в мобильных приложениях системы. Сотрудники компании сумели обойти процедуру ввода идентификационного кода из SMS.
Благодаря уязвимости злоумышленники могли входить в учетные записи пользователей и отправлять деньги с их счета куда угодно. Проблема актуальна для пользователей, проходящих аутентификацию на iOS и Android-приложениях сервиса. При этом она возникает на стороне сервера, а не пользователя, сообщает threatpost.com.
Duo Security предупредил PayPal об уязвимости еще в марте. Платежный сервис предпринял оперативные меры, однако окончательно «дыра» будет закрыта лишь в конце июля.
О найденной уязвимости сообщило издание Financial Times со ссылкой на Duo Security, которая специализируется на поиске уязвимостей. Сообщается, что специалисты PayPal уже работают над решением возникшей проблемы.
Главный специалист по исследованию безопасности Duo Security Зак Ланьер рассказал, что злоумышленникам было достаточно иметь базовый набор информации:
“Для доступа к пользовательскому счету злоумышленникам было достаточно лишь логина и пароля жертвы. По сути, двухуровневая защита системы была аннулирована”, – пояснил специалист.
Напомним, что в мае eBay, которому принадлежит PayPal, подвергся атаке хакеров. Тогда злоумышленники смогли получить доступ к базе данных электронной почты и паролей пользователей торгового сервиса, однако, по заявлению самой торговой площадки, утечки данных из PayPal не было.
 |
Людмила Б.
Торговля (Детские товары, мини-компания) |
доверие больше к другой системе
 |
|
- Размещать анонимные, бездоказательные жалобы на качество товаров / услуг. В подобных жалобах следует указывать координаты, позволяющие идентифицировать пострадавшего: работающий e-mail, номер заказа и т.д.
______
Автор открыт для диалога. Отзыв подтверждён. Свернуть
