Австралийский хакер нашел очередную "дыру" в PayPal

17-летний австралийский хакер Джошуа Роджерс утверждает, что нашел серьезную ‘дыру’ в системе защиты аккаунта платежного сервиса PayPal. Как сообщает Вести.Ru, уязвимость позволяет обойти двухфакторную авторизацию PayPal, подразумевающую ввод PIN-кода, приходящего в SMS.

По словам Роджерса, войти в систему можно при помощи одних логина и пароля от аккаунтов в PayPal и eBay. Ошибка содержится на странице интернет-аукциона, позволяющей связать друг с другом учетные записи в PayPal и eBay. В результате привязки создается cookie-файл, по которому PayPal определяет пользователя как авторизованного в системе, несмотря на то шестизначный PIN-код введен не был.

О найденной ‘дыре’ в системе авторизации PayPal Роджерc рассказал в своем блоге, уведомил представителей компании и даже приложил видеоинструкцию на YouTube. Никакой ответной реакции, по словам хакера, ни от eBay, ни от PayPal до сих пор пока не последовало.

Обновление:

Между тем, в ответ на данную публикацию, в редакцию MoneyNews поступило письмо от пресс-службы PayPal с комментарием по ситуации.

‘Мы знаем о существовании проблемы с 2-факторной авторизацией (2FA), которая ограничивается небольшим количеством интеграций с адаптивными платежами. 2-факторная авторизация – это дополнительный уровень защиты, который некоторые пользователи добавляют к своему счету PayPal. Мы работаем над тем, чтобы исправить ошибку как можно быстрее. Важно отметить, что 2-факторная авторизация – это дополнительный фактор защиты счета, и она не отменяет необходимость использования логина и пароля для доступа к счету PayPal.

Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по СМС) для доступа к своим счетам. Если у вас установлена 2-этапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся 2-факторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением’.