17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal - Новости платежных систем | MMGP
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 435,031 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение -  .
Вход через:  
Обсуждение новостей, связанных с различными платежными системами.
При поддержке
Обмен валют, доставка наличных
Важная информация
Есть опыт работы с криптовалютами? Заведи Крипто-Блог и заработай на нём!
Торгуешь криптовалютой? Оставь свой отзыв о бирже!
Разбираешься в криптовалюте? Прими участие в акции Крипторайтер 2.0 (2-10 поинтов за 1000 символов)
Изменения в акции "Оплата за сообщения".
Как на одной публикации заработать $100
Ответить
 
Первый пост Опции темы
Сообщения прочитаны и/или просмотрены Сегодня, 16:46
Старый 08.08.2014, 10:29
#1
Специалист
 
Пол: Мужской
Регистрация: 01.10.2013
Сообщений: 593
Благодарностей: 331
УГ: 1
КП: 0.146
17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal

Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal.

17-летний австралиец смог обойти двухфакторную аутентификацию, реализуемую компанией PayPal для повышения безопасности учетных записей пользователей.
Двухфакторная аутентификация представляет собой ввод специального кода вместе с логином и паролем при входе на сайт. Поскольку код отправляется на мобильный телефон в виде СМС или генерируется специальным приложением, его перехват почти невозможен.
Но Джошуа Роджерс (Joshua Rogers), 17-летний подросток из Мельбурна, Австралия, смог обойти систему защиты и получить доступ к учетной записи PayPal, защищенной с помощью двухфакторной аутентификации. Об этом он написал в своем блоге в понедельник, 4 августа 2014 года.
Опубликовав подробности уязвимости, Роджерс автоматически отказался от 3 тысяч долларов вознаграждения, которое ему должны были выплатить представители PayPal взамен на неразглашение деталей атаки.
Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal. Уязвимость кроется в том, что eBay позволяет пользователям привязывать свою учетную запись к аккаунту в PayPal. При этом создается cookie-файл, который заставляет сайт PayPal считать, что пользователь успешно вошел в систему. В этом случае код двухфакторной аутентификации игнорируется.
Проблемная функция в cookie-файле называется “=integrated-registration”. Она не проверяет, используется ли двухфакторная аутентификация, подвергая таким образом риску учетную запись пользователя.
Известны и другие способы обхода системы безопасности. К примеру, если пользователь по какой-то причине не может получить код аутентификации, PayPal позволяет пропустить его, ответив взамен на два секретных вопроса. Но любой опытный хакер, знакомый с принципами социального инжиниринга, может узнать ответы на эти вопросы.
Роджерс и раньше обнаруживал бреши в online-сервисах. В прошлом месяце он получил предупреждение от полиции за раскрытие уязвимости на сайте общественного транспорта штата Виктория.

[Обновление] Как сообщили порталу SecurityLab представители PayPal, компания осведомлена о наличии проблемы. По утверждениям пресс-службы, сейчас компания активно работает над устранением ошибки.
«Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по СМС) для доступа к своим счетам. Если у вас установлена 2-этапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся 2-факторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением», - отметили в пресс-службе компании.
Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal.

http://www.securitylab.ru/news/456094.php
DeFree вне форума  
Сказали спасибо:
neva2012 (08.08.2014)
Старый 08.08.2014, 12:31
#2
Заблокированный
 
Регистрация: 18.02.2014
Сообщений: 2,437
Благодарностей: 1,283
УГ: 0
КП: 0.000
Re: 17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal

Цитата:
Известны и другие способы обхода системы безопасности. К примеру, если пользователь по какой-то причине не может получить код аутентификации, PayPal позволяет пропустить его, ответив взамен на два секретных вопроса. Но любой опытный хакер, знакомый с принципами социального инжиниринга, может узнать ответы на эти вопросы.
Умная фраза, но смешная
Martin Gale вне форума  
Ответить
Войдите, чтобы оставить комментарий.
Сообщения прочитаны и/или просмотрены Сегодня, 16:46
Опции темы

Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Механизм оплаты за приобретенный товар. good7 Интернет-аукционы 10 03.07.2013 02:35
Есть мне что сказать по купонам Adwords… + Как обойти бан!? 500$ купоны! loveforex Дайджест блогосферы 0 18.08.2012 00:22
Продам Метод Как Обойти Защиту К Играм От Nevosoft.ru bidgo Аккаунты/Базы/Ваучеры 4 15.08.2009 00:09


Случайные темы
Аватар Karim
Gamewin - Рефбэк 50%
От Karim в разделе «Архив: Реферальные и страховые предложения»
Аватар Мониторинг Хайпов
Cyber Invest - cyberinvest.su
От Мониторинг Хайпов в разделе «Архив: Список проблемных/неактивных/закрытых программ»
Аватар all-hyips
super2x.biz - Super2X
От all-hyips в разделе «Архив: Список проблемных/неактивных/закрытых программ»
Аватар Resnitsi
Афины: Греция на совете МИД ЕС изменила климат холодной войны с РФ
От Resnitsi в разделе «Новости в мире финансов и инвестиций»
Аватара нет
Проблемные банки Украины и кандидаты на ликвидацию
От CashToday в разделе «Новости в банковской сфере и страховании»
.     
Пользователей
435,031
Тем
504,877
Сообщений
12,675,472

mmgp.telegram