Dwuetapowe uwierzytelnienie może pozytywnie wpłynąć na bezpieczeństwo naszych pieniądze. Może, o ile drugi etap jest wymagany...
Specjalista ds. cyberbezpieczeństwa Henry Hoggard siedział ostatnio w hotelu, gdzie musiał dokonać pewnej płatności. Niestety nie było zasięgu komórkowego i na telefon Brytyjczyka nie przychodził jednorazowy kod uwierzytelniający od PayPala. – „Na szczęście dla mnie, ominięcie dwuetapowego zabezpieczenia stosowanego przez PayPal zajęło niecałe pięć minut”, napisał później na swoim blogu.
Tak, dobrze przeczytaliście – niecałe pięć minut. Jak to możliwe? Ominięcie zabezpieczenia okazało się banalnie proste. Zacznijmy od początku: istnieje kilka możliwości uzyskania uwierzytelnienia na PayPalu. Podstawowa to wpisanie swojego numeru telefonu i oczekiwanie na jednorazowy kod. Inna polega na odpowiedzeniu na dwa pytania pomocnicze. Okazuje się jednak, że na te ostatnie wcale odpowiadać nie trzeba.
Hoggard wykorzystał proxy i usunął w komunikacji HTTP dwa proste parametry: „securityQuestion 0” i „securityQuestion1”. Efekt: „twoje konto jest zweryfikowane! Dziękujemy”. I to by było na tyle.
Jak na specjalistę ds. cyberbezpieczeństwa przystało, Hoggard najpierw poinformował o tym niedopatrzeniu administrację PayPala. Zgłoszenie zostało wysłane 3 października, a 4 rozpoczęła się weryfikacja. 21 października PayPal poinformował o załataniu luki i podziękował (nagrodą pieniężną) Hoggardowi.
Źródło: henryhoggard, PayPal
Komentarze
6Dziwi mnie tylko ze tak duza firma jak payPal a nie robia analizy skutkow mozliwych bledow przy swoich zabezpieczeniach.
Do autora - jest tez trzecia forma autoryzacji za pomoca generatora kluczy ktory jest dostepny od PayPal, ten sam moze byc wykorzystywany do logowania eBay'a.
Ja akurat nie mam ustawionych pytań pomocniczych. To jest zbyt łatwo wydedukować dzięki socjotechnice.