Злоумышленник мог зайти в учетную запись, без использования текста подтверждения. На данный момент PayPal устранила этот недочет. Проблема была в том, как был реализован API в функции предварительного просмотра портала. Хорошая новость заключается в том, что для успешной атаки был необходим доступ к браузеру жертвы.
Весь процесс был
- Открыть PayPal в новой вкладке (оставить ее открытой).
- На другой вкладке открыть PayPal Preview.
- Войти в свою учетную запись на вкладке, которая была открыта в шаге 2.
- Введите учетные данные в появившемся окне.
- Обновите вкладку, которая была открыта в шаге 1.
- Теперь вы авторизованы, нажмите на кнопку просмотра учетной записи, откроется доступ и 2 этап проверки будет пропущен.
Другими словами: если пользователь вошел в систему с помощью предварительного просмотра портала и оставляет открытым браузер, злоумышленник получит доступ к счету жертвы, не вызывая процесс многофакторной авторизации (2FA).