Злоумышленник мог зайти в учетную запись, без использования текста подтверждения. На данный момент PayPal устранила этот недочет. Проблема была в том, как был реализован API в функции предварительного просмотра портала. Хорошая новость заключается в том, что для успешной атаки был необходим доступ к браузеру жертвы.

Весь процесс был задокументирован пошагово:

1. Открыть PayPal в новой вкладке (оставить ее открытой).
2. На другой вкладке открыть PayPal Preview.
3. Войти в свою учетную запись на вкладке, которая была открыта в шаге 2.
4. Введите учетные данные в появившемся окне.
5. Обновите вкладку, которая была открыта в шаге 1.
6. Теперь вы авторизованы, нажмите на кнопку просмотра учетной записи, откроется доступ и 2 этап проверки будет пропущен.

Другими словами: если пользователь вошел в систему с помощью предварительного просмотра портала и оставляет открытым браузер, злоумышленник получит доступ к счету жертвы, не вызывая процесс многофакторной авторизации (2FA).