Исследователь из Великобритании Генри Хоггарт случайно обнаружил на сайте PayPal уязвимость, которая дает возможность обойди двухфакторную аутентификацию.
Отметим, что еще осенью 2015 года глава Vulnerability Lab Бенджамин Кунц Меджри обнаружил в API мобильных приложений компании PayPal уязвимость, позволяющую миновать двухфакторную аутентификацию и получить доступ даже к заблокированному аккаунту платежной системы.
Проблема, найденная Хоггартом не так масштабна. Исследователь пишет, что обнаружил баг случайно, когда оказался в отеле, где телефон не ловил сигнал, и получить код авторизации посредством SMS-сообщения не представлялось возможным. Хоггарт заметил, что на странице авторизации PayPal присутствует ссылка «Try another way» («Попробовать другой способ»), которая предлагает пользователю другие опции, как раз на тот случай, если телефон не доступен. Так, PayPal просит пользователя ответить на секретный вопрос.
Хоггард обнаружил, что при помощи обычного прокси атакующий может перехватить и изменить запросы, которыми пользователь обменивается с сервером PayPal. В результате атакующий сможет обойти двухфакторную аутентификацию и проникнуть в чужой аккаунт. Причем никаких специальных навыков и глубоких познаний атака не требует: достаточно удалить из HTTP-запроса параметры securityQuestion0 и securityQuestion1.
Хоггард пишет, что сообщил PayPal о проблеме еще 3 октября 2016 года, и 21 октября баг был устранен.
Отметим, что еще осенью 2015 года глава Vulnerability Lab Бенджамин Кунц Меджри обнаружил в API мобильных приложений компании PayPal уязвимость, позволяющую миновать двухфакторную аутентификацию и получить доступ даже к заблокированному аккаунту платежной системы.
Проблема, найденная Хоггартом не так масштабна. Исследователь пишет, что обнаружил баг случайно, когда оказался в отеле, где телефон не ловил сигнал, и получить код авторизации посредством SMS-сообщения не представлялось возможным. Хоггарт заметил, что на странице авторизации PayPal присутствует ссылка «Try another way» («Попробовать другой способ»), которая предлагает пользователю другие опции, как раз на тот случай, если телефон не доступен. Так, PayPal просит пользователя ответить на секретный вопрос.
Хоггард обнаружил, что при помощи обычного прокси атакующий может перехватить и изменить запросы, которыми пользователь обменивается с сервером PayPal. В результате атакующий сможет обойти двухфакторную аутентификацию и проникнуть в чужой аккаунт. Причем никаких специальных навыков и глубоких познаний атака не требует: достаточно удалить из HTTP-запроса параметры securityQuestion0 и securityQuestion1.
Хоггард пишет, что сообщил PayPal о проблеме еще 3 октября 2016 года, и 21 октября баг был устранен.
