Integração com eBay dispensa uso de senha extra.
PayPal diz que está trabalhando para corrigir o problema.
PayPal diz que está trabalhando para corrigir o problema.
Um pesquisador de segurança australiano revelou nesta terça-feira (5) uma brecha de segurança no serviço de pagamento PayPal que permite burlar a autenticação de dois fatores, na qual o usuário usa um código único para aumentar a segurança do login. O especialista Joshua Rogers publicou os detalhes técnicos em seu blog, "Just Another Security Blog", porque, de acordo com ele, o PayPal foi informado do problema há dois meses e ainda não corrigiu a vulnerabilidade. A empresa pertence ao eBay.
A autenticação de dois fatores impossibilita que um invasor acesse uma conta do serviço de pagamentos PayPal mesmo que ele consiga a senha da vítima. O criminoso não conseguirá o código único, que é enviado por SMS ou gerado por um dispositivo especial, e assim o acesso à conta será negado. O PayPal oferece o recurso com o nome de "chave de segurança".
Com o método descoberto por Rogers, um acesso a uma página especial "confunde" o PayPal e o login é realizado sem a necessidade do código.
Ouvido pelo G1, o PayPal enviou um comunicado dizendo que está ciente do problema com a autenticação de dois fatores, mas que ele está restrito "a um número limitado de integrações com o Adaptive Payments" e que a companhia está trabalhando para corrigir a falha. O serviço de pagamentos enfatizou que a autenticação de dois fatores é uma medida "extra" de segurança para ajudar os usuários e que a senha ainda é necessária para o acesso.
O pesquisador australiano disponibilizou um vídeo mostrando a vulnerabilidade (assista). No vídeo, ele acessa uma página do eBay que permite vincular uma conta do PayPal ao eBay. No momento da vinculação, a senha do PayPal é solicitada. No momento seguinte, Rogers acessa paypal.com e imediatamente o painel de controle da conta é aberto.
O PayPal corrigiu em junho outra vulnerabilidade que também permitia burlar a autenticação de dois fatores do serviço. O problema, na ocasião, era a maneira como o PayPal interagia com seus aplicativos móveis, que não usam a autenticação de dois fatores. Dessa maneira, era possível "fingir" ser um aplicativo móvel e dispensar a senha extra.
A autenticação de dois fatores impossibilita que um invasor acesse uma conta do serviço de pagamentos PayPal mesmo que ele consiga a senha da vítima. O criminoso não conseguirá o código único, que é enviado por SMS ou gerado por um dispositivo especial, e assim o acesso à conta será negado. O PayPal oferece o recurso com o nome de "chave de segurança".
Com o método descoberto por Rogers, um acesso a uma página especial "confunde" o PayPal e o login é realizado sem a necessidade do código.
Ouvido pelo G1, o PayPal enviou um comunicado dizendo que está ciente do problema com a autenticação de dois fatores, mas que ele está restrito "a um número limitado de integrações com o Adaptive Payments" e que a companhia está trabalhando para corrigir a falha. O serviço de pagamentos enfatizou que a autenticação de dois fatores é uma medida "extra" de segurança para ajudar os usuários e que a senha ainda é necessária para o acesso.
O pesquisador australiano disponibilizou um vídeo mostrando a vulnerabilidade (assista). No vídeo, ele acessa uma página do eBay que permite vincular uma conta do PayPal ao eBay. No momento da vinculação, a senha do PayPal é solicitada. No momento seguinte, Rogers acessa paypal.com e imediatamente o painel de controle da conta é aberto.
O PayPal corrigiu em junho outra vulnerabilidade que também permitia burlar a autenticação de dois fatores do serviço. O problema, na ocasião, era a maneira como o PayPal interagia com seus aplicativos móveis, que não usam a autenticação de dois fatores. Dessa maneira, era possível "fingir" ser um aplicativo móvel e dispensar a senha extra.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário