PayPal исправили баг многофакторной аутентификации

PayPal исправили баг многофакторной аутентификации

Злоумышленник мог зайти в учетную запись, без использования текста подтверждения. На данный момент PayPal устранила этот недочет. Проблема была в том, как был реализован API в функции предварительного просмотра портала. Хорошая новость заключается в том, что для успешной атаки был необходим доступ к браузеру жертвы.

Весь процесс был задокументирован пошагово:

 

  1. Открыть PayPal в новой вкладке (оставить ее открытой).
  2. На другой вкладке открыть PayPal Preview.
  3. Войти в свою учетную запись на вкладке, которая была открыта в шаге 2.
  4. Введите учетные данные в появившемся окне.
  5. Обновите вкладку, которая была открыта в шаге 1.
  6. Теперь вы авторизованы, нажмите на кнопку просмотра учетной записи, откроется доступ и 2 этап проверки будет пропущен.

Другими словами: если пользователь вошел в систему с помощью предварительного просмотра портала и оставляет открытым браузер, злоумышленник получит доступ к счету жертвы, не вызывая процесс многофакторной авторизации (2FA).

Подпишитесь
в Facebook

Я уже с вами