25 октября 2016

Эксперт обнаружил простой способ обхода 2FA-механизма в PayPal

Метод предполагает перехват и модификацию HTTP-запросов сервера PayPal.

Исследователь из Великобритании Генри Хоггард (Henry Hoggard) рассказал об очень простом способе обхода механизма двухфакторной аутентификации в PayPal, позволяющем в считанные минуты получить доступ к учетной записи в платежном сервисе.

Хоггард обнаружил данный способ, находясь в гостиничном номере, где отсутствовал сотовый сигнал и, соответственно, возможность получить по SMS код верификации PayPal.

По его словам, проблема заключается в опции «Попробуйте другой способ» (Try another way), расположенной под секцией двухфакторной аутентификации на странице авторизации. PayPal предлагает воспользоваться данной опцией в ситуации, когда пользователь не имеет телефон при себе или при отсутствии сигнала. В таких случаях для того, чтобы получить доступ к учетной записи, пользователь должен ответить на секретные вопросы.

Как выяснил Хоггард, при наличии прокси-сервера, способного перехватывать запросы сервера PayPal, атакующий может модифицировать HTTP-запросы и получить доступ к аккаунту. Для этого требуется всего лишь удалить параметры "securityQuestion0" и "securityQuestion1" из HTTP-запроса.

В начале октября нынешнего года исследователь проинформировал PayPal о проблеме. В настоящее время уязвимость уже устранена.


Источник: Securitylab.ru