Специалисты PayPal ликвидировали уязвимость на официальном интернет-портале, с помощью которой хакер мог обходить механизм двухфакторной аутентификации и получать доступ к аккаунтам сервиса.
Как утверждает исследователь Шавар Хан, источником проблемы является некорректная реализация PayPal API на веб-странице для авторизации британских пользователей (PayPal UK) и на портале PayPal preview.
Если механизм двухфакторной аутентификации включен в аккаунте, то каждая попытка входа в систему PayPal будет сопровождаться просьбой подтверждения личности пользователя. Процедура верификации может быть проведена с помощью телефонного номера, а также через подтверждение специального запроса в мобильном приложении.
В официальном уведомлении компании говорится, что механизм верификации не внедрен в портал PayPal preview, что дает возможность обходить двухфакторную аутентификацию в ходе авторизации на веб-странице для британских пользователей сервиса.