Dvojfázovú ochranu PayPalu možno ľahko obísť

Bez­peč­nost­ný nás­troj, kto­rý má chrá­niť pou­ží­va­teľ­ské kon­tá služ­by Pay­Pal pred zneu­ži­tím, je pod­ľa zis­te­ní aus­trál­ske­ho vý­skum­ní­ka mož­né obísť.

Pou­ží­va­te­lia Pay­Pa­lu si mô­žu vy­brať, či chcú pre prís­tup k svo­jim úč­tom pou­ží­vať ove­re­nie po­mo­cou šes­ťmies­tne­ho kó­du, kto­rý dos­ta­ne for­mou texto­vej sprá­vy. Po­le pre vlo­že­nie toh­to kó­du sa ob­ja­ví až po správ­nom za­da­ní uží­va­teľ­ské­ho me­na a hes­la.

Bez­peč­nost­ný nás­troj, kto­rý je zná­my ako dvoj­fá­zo­vá auten­ti­zá­cia, po­nú­ka čo­raz viac pre­vádz­ko­va­te­ľov on­li­ne slu­žieb ako nap­rík­lad Goog­le a v prí­pa­de mno­hých fi­nan­čných slu­žieb ide v pod­sta­te o ne­vyh­nut­nú vec. Keď­že je kód za­sie­la­ný of­fli­ne ale­bo ge­ne­ro­va­ný mo­bil­nou ap­li­ká­ciou, je pre hac­ke­rov veľ­mi ťaž­ké ho zís­kať. Nie však ne­mož­né.

Jos­hua Ro­gers, se­dem­nás­ťroč­ný chla­pec z aus­trál­ske­ho Mel­bour­ne, pri­šiel na spô­sob, ako zís­kať prís­tup k úč­tom pou­ží­va­jú­cim dvoj­fá­zo­vú auten­ti­zá­ciu. De­tai­ly svoj­ho úto­ku zve­rej­nil na svo­jom blo­gu po tom, čo Pay­Pal na­priek je­ho upo­zor­ne­niu chy­bu ani po me­sia­ci neop­ra­vil.

Tým, že Ro­gers vy­šiel s chy­bou von, prí­de o od­me­nu, kto­rú Pay­Pal zvy­čaj­ne vy­plá­ca bez­peč­nos­tným vý­skum­ní­kom za náj­de­nie a upo­zor­ne­nie na zra­ni­teľ­nos­ti. Údaj­ne si mo­hol prísť až na 3 ti­síc do­lá­rov. "Na pe­nia­zoch mi ne­zá­le­ží. V ži­vo­te ide ove­ľa o viac," na­pí­sal Ro­gers.

Na vy­ko­na­nie úto­ku mu­sí ha­cker poz­nať prís­tu­po­vé úda­je uží­va­te­ľa k úč­tom na služ­bách eBay a Pay­Pal. Pre škod­li­vé prog­ra­my však nie je za­se tak zlo­ži­té ich zís­kať.

Hlav­ný prob­lém je na webo­vej strán­ke eBay, kto­rá uží­va­te­ľom umož­ňu­je pre­po­jiť úč­ty oboch slu­žieb. Pre­po­je­ním úč­tov to­tiž dôj­de k vy­tvo­re­niu cookie, vďa­ka kto­rej si ap­li­ká­cie Pay­Pal my­slia, že je pou­ží­va­teľ prih­lá­se­ný, ho­ci ne­za­dal šes­ťmiest­ny kód. Fun­kcie vraj vô­bec ne­zis­ťu­je, či má pou­ží­va­teľ dvoj­fá­zo­vú auten­ti­fi­ká­ciu za­pnu­tú. Ro­gers zve­rej­nil vi­deo úto­ku na YouTu­be.

Zá­stup­co­via Pay­Pa­lu sa k si­tuá­cii za­tiaľ ne­vy­jad­ri­li.

Zdroj: Com­pu­terWorld


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter