Британский исследователь информационной безопасности Генри Хоггард рассказал о простой методике обхода механизма двухфакторной аутентификации в PayPal, которая дает возможность заполучить доступ к аккаунту в платежном сервисе за несколько минут.
Хоггард выявил эту методику, будучи в номере отеля, в котором отсутствовал сигнал мобильной связи, а значит и возможность принимать посредством SMS верификационный код PayPal.
Как утверждает эксперт, проблемной является опция Try another way, которая расположена под секцией двухфакторной аутентификации на веб-странице авторизации. PayPal предлагает использовать данный функционал, если у пользователя нет при себе телефона или в случае отсутствия сигнала. Для получения доступа к аккаунту пользователю необходимо дать ответы на секретные вопросы.
Оказалось, что при наличии прокси-сервера, который может осуществлять перехват запросов PayPal, злоумышленник может вносить изменения в HTTP-запросы и получать доступ к учетной записи. Для этого необходимо убрать из HTTP-запроса параметры securityQuestion0 и securityQuestion1.
Хоггард в начале октября сообщил PayPal об уязвимости, но она все еще не ликвидирована.