Чи може ваш обліковий запис PayPal бути зламаний? Ви можете вважати, що ваш обліковий запис PayPal безпечний, але подумайте ще раз.
Навіть якщо ви зареєструвалися для функції безпеки Key PayPal, вам все одно доведеться замислитися над безпекою вашого облікового запису.
Австралійський дослідник - всього 17 років - каже, що хакеру, принаймні, легко обійти дві крокові (або двофакторні) заходи безпеки. Ключ безпеки - це додаток PayPal, який надсилає вам текстове повідомлення на свій телефон за допомогою другого ключа безпеки, необхідного для доступу до вашого облікового запису.
$config[code] not foundУ розділі безпеки на офіційному сайті PayPal компанія пояснює:
"Ключ безпеки PayPal дає вам другий фактор аутентифікації, коли ви входите до свого облікового запису. Окрім пароля, ви вводите унікальний PIN-код (OTP), який є унікальним для кожного входу. Ці два фактори надають вам більш надійну безпеку облікового запису. "
Але це не так, як розповідає Джошуа Роджерс PC Magazine. Проблема з функцією безпеки Key PayPal підключена до eBay. А хакеру потрібні лише облікові дані користувача eBay і PayPal, щоб отримати доступ до облікового запису, що містить гроші. Якщо ви дозволяєте eBay негайно знімати свої збори з вашого рахунку PayPal, коли продаж завершено, ваш рахунок PayPal може бути вразливим.
У своєму блозі Роджерс описує:
"Коли ви налаштовуєте цю функцію, ви (очевидно) попросили ввійти в систему PayPal. Після того, як ви дійсно ввійшли в систему, файли cookie встановлюються з вашими реквізитами, і ви перенаправляєтеся на сторінку, щоб підтвердити деталі процесу. І тут лежить експлуатат. Тепер просто завантажте http://www.paypal.com/, і ви ввійшли в систему, і не потрібно повторно вводити свій логін. "
PC Magazine зазначає, що ще одна лазівка в цій функції виникає, коли особа, у якій включено ключ безпеки, не має телефону. Якщо вони не можуть отримати текстове повідомлення з другим кодом, вони можуть відповісти на два питання безпеки. Журнал припускає, що така інформація також доступна хакерам.
Опублікуючи публіку з недоліком системи безпеки PayPal, Роджерс пропустить будь-яку компенсацію за своє відкриття. PayPal фактично пропонує програму Bounty для дослідників, які попереджають компанію про недоліки безпеки. Роджерс розповідає PC Magazine, що він розповів PayPal про свою роботу на початку червня, але нічого не було з його сповіщень.
Ремікс зображення монітора Shutterstock
5 Коментарі ▼