Компания PayPal не желает исправлять серьезную уязвимость в своем мобильном приложении для iOS и Android
В приложении известного платежного сервиса PayPal найдена критическая ошибка, которая позволяет легко обойти двухфакторную защитную модель аутентификации. Компания не посчитала эту уязвимость важной, поэтому решила ее не исправлять. Однако, многие специалисты с этой позицией не согласны, ведь брешь помогает злоумышленникам взломать аккаунт пользователя и воспользоваться его средствами на счете.
Бенджамин Кунц, руководитель компании Vulnerability Lad, заявил, что найденная уязвимость позволяет обойти модель защиты аккаунта PayPal и получить доступ даже к заблокированной учетной записи. Как уже привычно слышать, уязвимость найдена в мобильных версиях для платформ Android и iOS.
Платежный сервис PayPal в некоторых случаях может запрашивать у пользователя подтверждение личности и блокировать его аккаунт с целью предотвращения мошеннических действий. Для разблокировки учетной записи нужно отправлять электронное письмо на ящик компании PayPal или же позвонить по телефону в службу поддержки. Найденная уязвимость дает возможность мошенникам совершать несколько попыток авторизации, тем самым получая доступ к аккаунту.
Как заявил Бенджамин Кунц, его компания провела опыт, в ходе которого совершались множественные попытки запроса формы разблокировки с существующей записи. Благодаря этому, им удалось обойти проверку личности владельца аккаунта. API использует информацию с сайта, и пользователь включает собственный аккаунт в процесс идентификации через движок браузера. Таким образом, можно получить доступ к мобильной версии PayPal для iOS и Android через существующие cookie-файлы.
Стоит отметить, что указанный метод позволяет обойти процесс проверки личности и двухфакторную аутентификацию PayPal. Как только мошенники получают доступ, они могут поменять пароль и данные пользователя.
По состоянию на начало 9 сентября 2015 года, эта ошибка не исправлена со стороны платежной системы PayPal, поскольку компании не желает признавать ее важности.
Meta Playforms решила приостановить набор персонала из-за медленного роста
Honor свернул поставки смартфонов на российский рынок
VK ведет переговоры о поглощении сервисов бронирования жилья
Собственник Avito не хочет продавать классифайд VK
Порядка 2 500 работников «Яндекса» так и не вернулись из-за границы
В отношении GeekBrains подан второй по счету коллективный иск за отказ вернуть деньги за курсы
Pinterest и Twitch наказали за отказ от локализации данных
Поисковики будут обязаны маркировать Twitch как несоблюдающий законодательство сервис
Wargaming успела продать российский бизнес до введения запрета