17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal - Новости платежных систем | MMGP
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 457,268 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение -  .
Вход через:  
Обсуждение новостей, связанных с различными платежными системами.
При поддержке
Обмен валют, доставка наличных
Важная информация
Узнай, кто стал "Бизнес-леди MMGP-2018"
Внимание! Акция для копирайтеров: ЭПС-эксперт (2-10 поинтов за 1000 символов)
Есть опыт работы с криптовалютами? Заведи Крипто-Блог и заработай на нём!
Торгуешь криптовалютой? Оставь свой отзыв о бирже!
Разбираешься в криптовалюте? Прими участие в акции Крипторайтер 2.0 (2-10 поинтов за 1000 символов)
Изменения в акции "Оплата за сообщения".
Как на одной публикации заработать $100
Ответить
 
Первый пост Опции темы
Сообщения прочитаны и/или просмотрены Сегодня, 02:06
Старый 08.08.2014, 09:29
#1
Специалист
 
Пол: Мужской
Регистрация: 01.10.2013
Сообщений: 597
Благодарностей: 332
УГ: 1
КП: 0.146
17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal

Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal.

17-летний австралиец смог обойти двухфакторную аутентификацию, реализуемую компанией PayPal для повышения безопасности учетных записей пользователей.
Двухфакторная аутентификация представляет собой ввод специального кода вместе с логином и паролем при входе на сайт. Поскольку код отправляется на мобильный телефон в виде СМС или генерируется специальным приложением, его перехват почти невозможен.
Но Джошуа Роджерс (Joshua Rogers), 17-летний подросток из Мельбурна, Австралия, смог обойти систему защиты и получить доступ к учетной записи PayPal, защищенной с помощью двухфакторной аутентификации. Об этом он написал в своем блоге в понедельник, 4 августа 2014 года.
Опубликовав подробности уязвимости, Роджерс автоматически отказался от 3 тысяч долларов вознаграждения, которое ему должны были выплатить представители PayPal взамен на неразглашение деталей атаки.
Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal. Уязвимость кроется в том, что eBay позволяет пользователям привязывать свою учетную запись к аккаунту в PayPal. При этом создается cookie-файл, который заставляет сайт PayPal считать, что пользователь успешно вошел в систему. В этом случае код двухфакторной аутентификации игнорируется.
Проблемная функция в cookie-файле называется “=integrated-registration”. Она не проверяет, используется ли двухфакторная аутентификация, подвергая таким образом риску учетную запись пользователя.
Известны и другие способы обхода системы безопасности. К примеру, если пользователь по какой-то причине не может получить код аутентификации, PayPal позволяет пропустить его, ответив взамен на два секретных вопроса. Но любой опытный хакер, знакомый с принципами социального инжиниринга, может узнать ответы на эти вопросы.
Роджерс и раньше обнаруживал бреши в online-сервисах. В прошлом месяце он получил предупреждение от полиции за раскрытие уязвимости на сайте общественного транспорта штата Виктория.

[Обновление] Как сообщили порталу SecurityLab представители PayPal, компания осведомлена о наличии проблемы. По утверждениям пресс-службы, сейчас компания активно работает над устранением ошибки.
«Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по СМС) для доступа к своим счетам. Если у вас установлена 2-этапная авторизация, то ваш аккаунт будет работать в прежнем режиме. У нас есть многочисленные модели для выявления мошенничества и вычисления рисков, а также команды специалистов, которые работают постоянно, чтобы обеспечить безопасность наших клиентов от мошеннических операций. Мы приносим свои извинения за доставленные неудобства клиентам, пользующихся 2-факторной авторизацией, которых затронула проблема, и продолжаем усиленно работать над ее решением», - отметили в пресс-службе компании.
Для успешного обхода двухфакторной аутентификации хакер должен знать логин и пароль от учетных записей жертвы в eBay и PayPal.

http://www.securitylab.ru/news/456094.php
DeFree вне форума  
Сказали спасибо:
neva2012 (08.08.2014)
Старый 08.08.2014, 11:31
#2
Заблокированный
 
Регистрация: 17.02.2014
Сообщений: 2,437
Благодарностей: 1,284
УГ: 0
КП: 0.000
Re: 17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal

Цитата:
Известны и другие способы обхода системы безопасности. К примеру, если пользователь по какой-то причине не может получить код аутентификации, PayPal позволяет пропустить его, ответив взамен на два секретных вопроса. Но любой опытный хакер, знакомый с принципами социального инжиниринга, может узнать ответы на эти вопросы.
Умная фраза, но смешная
Martin Gale вне форума  
Старый 27.01.2018, 12:32
#3
Интересующийся
 
Пол: Мужской
Инвестирую в: Свой бизнес
Регистрация: 27.01.2018
Сообщений: 17
Благодарностей: 2
УГ: 0
КП: 0.000
Re: 17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal

Молодец, нашёл лазейку. У многих крупных компаний есть целые отделы с людьми, которые только и делают что ищут уязвимости. У простого паренька получилось найти самостоятельно. Можно всё, главное знать как.
cmvvo вне форума  
Старый 27.01.2018, 12:37
#4
Rich-and-Free.com
Премиум
 
Аватар moskva
 
Имя: Сергей
Пол: Мужской
Возраст: 30
Адрес: Планета земля
Инвестирую в: Свой бизнес
Регистрация: 12.09.2012
Сообщений: 18,407
Благодарностей: 9,789
УГ: 43
КП: 0.182
подарки
награды Волшебный горшочек 
Re: 17-летний подросток смог обойти механизм двухфакторной аутентификации PayPal

Цитата:
Сообщение от cmvvo Посмотреть сообщение
Молодец, нашёл лазейку.
Не зря говорят везде есть дыры
moskva на форуме  
Ответить
Войдите, чтобы оставить комментарий.
Сообщения прочитаны и/или просмотрены Сегодня, 02:06
Опции темы

Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Механизм оплаты за приобретенный товар. good7 Интернет-аукционы 10 03.07.2013 01:35
Есть мне что сказать по купонам Adwords… + Как обойти бан!? 500$ купоны! loveforex Дайджест блогосферы 0 17.08.2012 23:22
Продам Метод Как Обойти Защиту К Играм От Nevosoft.ru bidgo Аккаунты/Базы/Ваучеры 4 14.08.2009 23:09


Случайные темы
Аватар moskva
Азия обогнала Северную Америку по количеству миллионеров
От moskva в разделе «Новости в мире финансов и инвестиций»
Аватара нет
На Украине отменили социальные льготы для незащищенных категорий населения
От Aliaksandre в разделе «Новости в мире финансов и инвестиций»
Аватара нет
honest-income.webnode.ru - honest-income
От kassa euro в разделе «Список проблемных/неактивных/закрытых программ»
Аватара нет
Каналы и средняя
От dave75 в разделе «Торговые стратегии»
Аватар veranika55
АСВ предупреждает о рисках онлайн-банкинга для физических лиц
От veranika55 в разделе «Новости в мире финансов и инвестиций»
Аватара нет
ПАММ-счет zont1one:539747 (ForexTrend)
От aper7654 в разделе «Архив: Инвестирование в ПАММ-счета»
.     
Пользователей
457,268
Тем
535,027
Сообщений
13,477,836

mmgp.telegram