Компания PayPal не желает исправлять серьезную уязвимость в своем мобильном приложении для iOS и Android
В приложении известного платежного сервиса PayPal найдена критическая ошибка, которая позволяет легко обойти двухфакторную защитную модель аутентификации. Компания не посчитала эту уязвимость важной, поэтому решила ее не исправлять. Однако, многие специалисты с этой позицией не согласны, ведь брешь помогает злоумышленникам взломать аккаунт пользователя и воспользоваться его средствами на счете.
Бенджамин Кунц, руководитель компании Vulnerability Lad, заявил, что найденная уязвимость позволяет обойти модель защиты аккаунта PayPal и получить доступ даже к заблокированной учетной записи. Как уже привычно слышать, уязвимость найдена в мобильных версиях для платформ Android и iOS.
Платежный сервис PayPal в некоторых случаях может запрашивать у пользователя подтверждение личности и блокировать его аккаунт с целью предотвращения мошеннических действий. Для разблокировки учетной записи нужно отправлять электронное письмо на ящик компании PayPal или же позвонить по телефону в службу поддержки. Найденная уязвимость дает возможность мошенникам совершать несколько попыток авторизации, тем самым получая доступ к аккаунту.
Как заявил Бенджамин Кунц, его компания провела опыт, в ходе которого совершались множественные попытки запроса формы разблокировки с существующей записи. Благодаря этому, им удалось обойти проверку личности владельца аккаунта. API использует информацию с сайта, и пользователь включает собственный аккаунт в процесс идентификации через движок браузера. Таким образом, можно получить доступ к мобильной версии PayPal для iOS и Android через существующие cookie-файлы.
Стоит отметить, что указанный метод позволяет обойти процесс проверки личности и двухфакторную аутентификацию PayPal. Как только мошенники получают доступ, они могут поменять пароль и данные пользователя.
По состоянию на начало 9 сентября 2015 года, эта ошибка не исправлена со стороны платежной системы PayPal, поскольку компании не желает признавать ее важности.
Рекомендуем по теме:
В отношении GeekBrains подан второй по счету коллективный иск за отказ вернуть деньги за курсы
Сервис Proxy-solutions добавил услугу "Мобильные прокси"
Банк «Держава» ПАО вывел на биржу первую публичную краудлендинговую платформу
Частные инвестиции становятся основным драйвером роста малого бизнеса
Обзор сервисов для организация двухфакторной аутентификации (2FA) пользователей звонком для сайтов бронирования отелей. 2025 год.
BetBoom Team краткая история успеха
Выбираем поставщика услуг среди быстрых и супербыстрых хостинг-провайдеров
Когда для вашего бизнеса подходят только быстрые и сверхбыстрые хостинг-провайдеры
The International 2025: состав фаворитов Dota 2