Компания PayPal не желает исправлять серьезную уязвимость в своем мобильном приложении для iOS и Android
В приложении известного платежного сервиса PayPal найдена критическая ошибка, которая позволяет легко обойти двухфакторную защитную модель аутентификации. Компания не посчитала эту уязвимость важной, поэтому решила ее не исправлять. Однако, многие специалисты с этой позицией не согласны, ведь брешь помогает злоумышленникам взломать аккаунт пользователя и воспользоваться его средствами на счете.
Бенджамин Кунц, руководитель компании Vulnerability Lad, заявил, что найденная уязвимость позволяет обойти модель защиты аккаунта PayPal и получить доступ даже к заблокированной учетной записи. Как уже привычно слышать, уязвимость найдена в мобильных версиях для платформ Android и iOS.
Платежный сервис PayPal в некоторых случаях может запрашивать у пользователя подтверждение личности и блокировать его аккаунт с целью предотвращения мошеннических действий. Для разблокировки учетной записи нужно отправлять электронное письмо на ящик компании PayPal или же позвонить по телефону в службу поддержки. Найденная уязвимость дает возможность мошенникам совершать несколько попыток авторизации, тем самым получая доступ к аккаунту.
Как заявил Бенджамин Кунц, его компания провела опыт, в ходе которого совершались множественные попытки запроса формы разблокировки с существующей записи. Благодаря этому, им удалось обойти проверку личности владельца аккаунта. API использует информацию с сайта, и пользователь включает собственный аккаунт в процесс идентификации через движок браузера. Таким образом, можно получить доступ к мобильной версии PayPal для iOS и Android через существующие cookie-файлы.
Стоит отметить, что указанный метод позволяет обойти процесс проверки личности и двухфакторную аутентификацию PayPal. Как только мошенники получают доступ, они могут поменять пароль и данные пользователя.
По состоянию на начало 9 сентября 2015 года, эта ошибка не исправлена со стороны платежной системы PayPal, поскольку компании не желает признавать ее важности.
Рекомендуем по теме:
Клиент «Яндекс.Такси» уличил агрегатор в жульничестве
Информационно-аналитические сервисы «Интерфакса» будут объединены под единым брендом
YouTube в России может быть заблокирован
Разработчики начали получать от Apple уведомления о снижении комиссии
В следующем году интернет отберет у телевидения 5% аудитории
Steam сообщил об установлении нового рекорда по численности пользователей
В поисковой выдаче Google появятся вертикальные видеоролики
Twitter, Discord и Reddit заблокировали аккаунты сторонников президента США
В даркнете появились данные 1,3 млн собственников автомобилей Hyundai из РФ