Компания PayPal не желает исправлять серьезную уязвимость в своем мобильном приложении для iOS и Android

Платёжные системы >> 09.09.2015
Компания PayPal не желает исправлять серьезную уязвимость в своем мобильном приложении для iOS и Android

В приложении известного платежного сервиса PayPal найдена критическая ошибка, которая позволяет легко обойти двухфакторную защитную модель аутентификации. Компания не посчитала эту уязвимость важной, поэтому решила ее не исправлять. Однако, многие специалисты с этой позицией не согласны, ведь брешь помогает злоумышленникам взломать аккаунт пользователя и воспользоваться его средствами на счете.

Бенджамин Кунц, руководитель компании Vulnerability Lad, заявил, что найденная уязвимость позволяет обойти модель защиты аккаунта PayPal и получить доступ даже к заблокированной учетной записи. Как уже привычно слышать, уязвимость найдена в мобильных версиях для платформ Android и iOS.

Платежный сервис PayPal в некоторых случаях может запрашивать у пользователя подтверждение личности и блокировать его аккаунт с целью предотвращения мошеннических действий. Для разблокировки учетной записи нужно отправлять электронное письмо на ящик компании PayPal или же позвонить по телефону в службу поддержки. Найденная уязвимость дает возможность мошенникам совершать несколько попыток авторизации, тем самым получая доступ к аккаунту.

Как заявил Бенджамин Кунц, его компания провела опыт, в ходе которого совершались множественные попытки запроса формы разблокировки с существующей записи. Благодаря этому, им удалось обойти проверку личности владельца аккаунта. API использует информацию с сайта, и пользователь включает собственный аккаунт в процесс идентификации через движок браузера. Таким образом, можно получить доступ к мобильной версии PayPal для iOS и Android через существующие cookie-файлы.

Стоит отметить, что указанный метод позволяет обойти процесс проверки личности и двухфакторную аутентификацию PayPal. Как только мошенники получают доступ, они могут поменять пароль и данные пользователя.

По состоянию на начало 9 сентября 2015 года, эта ошибка не исправлена со стороны платежной системы PayPal, поскольку компании не желает признавать ее важности.




Рекомендуем по теме:

Уязвимость в WhatsApp Web позволяет злоумышленникам получать полный контроль над устройствами пользователя

Уязвимость в WhatsApp Web позволяет злоумышленникам получать полный контроль над устройствами пользователя

Создан сервис PayPal.Me для перевода платежей по личной пользовательской ссылке

Создан сервис PayPal.Me для перевода платежей по личной пользовательской ссылке

В смартфонах Samsung с 2012 года присутствует серьезная уязвимость

В смартфонах Samsung с 2012 года присутствует серьезная уязвимость

Ebay в 2015 году завершит работу с системой платежей PayPal

Ebay в 2015 году завершит работу с системой платежей PayPal

Молодой хакер публично описал уязвимость в PayPal

Молодой хакер публично описал уязвимость в PayPal

Эксперты заявили об уязвимости PayPal

Эксперты заявили об уязвимости PayPal


Сервисы авторизации пользователей звонком для велопроката. 2024 год

Сервисы авторизации пользователей звонком для велопроката. 2024 год

 Regfon – продажа/аренда телефонных номеров Москвы

Regfon – продажа/аренда телефонных номеров Москвы

 Ucaller: использование авторизации по звонку для маркетплейсов

Ucaller: использование авторизации по звонку для маркетплейсов
RSS   Заказать новости   Контакты   Сотрудничество   Реклама на сайте   О проекте
2024 © delogazeta.ru. При использовании материалов сайта гиперссылка обязательна.