Обнаружена брешь в системе двухфакторной аутентификации PayPal

Исследователи из Duo Security сообщили, что двухфакторная аутентификация в платежной системе PayPal уязвима, и ее легко можно обойти в мобильных приложениях для iOS и Android. По словам экспертов, брешь в системе Security Key существует уже несколько лет, но впервые ее обнаружил Дэн Солтман из Everyday Carry, который сообщил о своей "находке" в PayPal 29 марта 2014 года в рамках программы по выплате вознаграждений за найденные бреши. Но, не получив ответа от компании, Солтман обратился в Duo Security.

По словам представителей Duo Security, указанные мобильные операционные системы могут манипулировать ответом сервера, создавая видимость того, что функция двухфакторной аутентификации в целевой учетной записи отключена.

"Уязвимость напрямую связана с ошибкой аутентификации в web-сервисе PayPal API, который используется в официальных мобильных приложениях PayPal и некоторых сторонних компаний", - сообщил исследователь из Duo Security - Зак Ланье.

Стоит отметить, что компания PayPal заявила о намерении выпустить исправление уязвимости 28 июня нынешнего года.

26 Июня 2014
Комментарии: 2

Возврат к списку

Комментарии пользователей:

langley 27 Июня 2014
да ладн...у меня полторашку увели под это дело.

Виталий 26 Июня 2014
А чувака кинули на бабосы)

Новые темы	Объявления	Свободное общение
22:21 Стоит ли добавлять сайт в Rambler топ 100? 22:14 Rotapost прикрыли! Чем пользоваться? 12:05 DLE не создает бэкап с админки сайта, как быть? 11:52 Ночной бар в Паттайе: как случайная встреча с "тайкой" и её кадыком перевернула мой взгляд на продвижение сайта в Google 2026 18:52 SEO под нейро 15:55 LOSPOLLOS.COM - Конвертим по рецепту Хайзенберга. Dating, Mainstream, Binary Options 15:15 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу.	21:47 Продам pubghelp.ru 18:47 Full-Stack Developer — Сайты и Софт любой сложности \| Developer Websites and Soft of any Complexity! 18:04 SnapSwap.io — мгновенный обмен BTC, XMR, ETH, USDT и других криптовалют без регистрации! 17:51 Инвайт, спам, парсинг, обучение/Максимально быстро и качественно 16:25 CryptoMonitor.info - ваш надеждный обменник BTC USDT XMR (без KYC) 15:24 №1 Рассылка / Инвайтинг [TELEGRAM] \| Приватный метод 15:24 Trustpilot Reviews \| Подниму рейтинг вашей компании	16:50 Компьютерная мышь 11:32 Про мясо 22:11 С юмором по жизни! 23:03 Точные прогнозы на футбол 13:08 Бесплатный майнинг Tether (USDT) 16:49 monetizer.agency – рекламная сеть для взрослого и развлекательного трафика. 100$ новому вебмастеру 20:43 Добро пожаловать в цифровой мир...