Paypalista löytyi ”hälyttävän paha reikä”: rahat liikkeelle ilman varmistusta

Tietoturvatutkija on löytänyt yksinkertaisen tavan kiertää Paypal-verkkomaksujärjestelmän turvaukset. BBC kirjoittaa, että kaksivaiheisen tunnistautumisen saattoi ohittaa poistamalla selaimen lähettämistä tiedoista muutaman merkin verran tietoa.

BBC kirjoittaa, että kaksivaiheisen tunnistautumisen saattoi ohittaa poistamalla selaimen lähettämistä tiedoista muutaman merkin verran tietoa.

Tietoturva-aukon löysi Henry Hoggard, kun hän yritti käyttää palvelua matkalla ollessaan paikassa, jossa matkapuhelimeen ei saatu yhteyttä. Kaksivaiheinen tunnistautuminen ei onnistunut, koska se perustuu tekstiviestin lähettämiseen.

Tällaisissa tilanteissa Paypal pyytää käyttäjää vastaamaan salaiseen kysymykseen, jonka tämä on valinnut tunnuksen luomisen yhteydessä. Hoggard ei muistanut enää salakysymykseen antamaansa vastausta. Siksi hän ohjasi liikenteen kannettavalta tietokoneelta proxyn kautta Paypaliin ja muutti lähetettyjä tietoja niin, että näytti kuin hän olisi jo vastannut kysymykseen.

Paypal ilmoittaa, että reikä paikattiin muutamassa päivässä Hoggardin ilmoituksen jälkeen. Hoggardille maksettiin palkkio bugin löytämisestä.

Tietoturvatutkija Graham Cluley arvioi, että Paypalin tietoturvan kannalta bugi oli huolestuttavan paha epäonnistuminen. Troy Hunt kommentoi tapauksen muistuttavan, että isotkin pelurit voivat mokata perustanvanlaatuisella tavalla.

Lähde: Paypalista löytyi ”hälyttävän paha reikä”: rahat liikkeelle ilman varmistusta