Nieuws
image

Tiener omzeilt twee factor-authenticatie PayPal

dinsdag 5 augustus 2014, 17:10 door Redactie, 6 reacties

Een Australische tiener heeft een manier gevonden waardoor het mogelijk is om de twee factor-authenticatie van PayPal te omzeilen door alleen een "speciale" PayPal-pagina te bezoeken. Het lek wordt veroorzaakt door de mogelijkheid om een PayPal-account aan een eBay-account te koppelen.

De koppeling zorgt ervoor dat als er iets op de veilingsite wordt gekocht dit via de betaaldienst wordt gedaan. Gebruikers die hun PayPal-account aan hun eBay-account willen koppelen moeten hiervoor vanuit eBay bij PayPal-inloggen, waar alleen de gebruikersnaam en wachtwoord voor wordt gebruikt. Als de gebruiker zijn koppeling bij PayPal heeft bevestigd wordt hij terug naar eBay gestuurd.

Gaat de gebruiker echter naar PayPal, dan is hij daar direct ingelogd en wordt er niet meer gecontroleerd of er twee factor-authenticatie voor het account staat ingeschakeld. Joshua Rogers informeerde PayPal op 5 juni van dit jaar over het probleem, maar de betaaldienst heeft nog altijd geen oplossing uitgerold. Daarop besloot de Australische tiener zijn bevindingen online te zetten.

Volgens Paco Hope van Cigital heeft Rogers PayPal-gebruikers onnodig aan risico's blootgesteld. "Het bouwen van veilige software is lastig en het vinden van lekken is het eenvoudige deel. Dit is een lek, geen bug, en het aanpassen van de manier waarop twee van de grootste online diensten samenwerken kan niet zomaar worden gedaan", aldus Hope tegenover SC Magazine.

Reacties (6)
05-08-2014, 19:04 door NumesSanguis
Heeft PayPal wel een reactie gegeven dat ze van het probleem op de hoogte zijn of gewoon compleet genegeerd?
06-08-2014, 05:05 door Anoniem
Gaat de gebruiker echter naar PayPal, dan is hij daar direct ingelogd en wordt er niet meer gecontroleerd of er twee factor-authenticatie voor het account staat ingeschakeld. Joshua Rogers informeerde PayPal op 5 juni van dit jaar over het probleem, maar de betaaldienst heeft nog altijd geen oplossing uitgerold. Daarop besloot de Australische tiener zijn bevindingen online te zetten.

Hij heeft dus 2 maanden gewacht met het openbaren van dit lek - m.i. een acceptabele tijd.

Volgens Paco Hope van Cigital heeft Rogers PayPal-gebruikers onnodig aan risico's blootgesteld. "Het bouwen van veilige software is lastig en het vinden van lekken is het eenvoudige deel. ....,

Het KOST erg veel geld om een dergelijke lek op te lossen, dat is de drijfveer voor zaken als Paypal en Ebay. Dat het vinden van een lek eenvoudig is ........de realiteit
06-08-2014, 09:39 door Anoniem
Voor Nederlandse Paypal accounts is het uberhaubt niet mogelijk om 2 factor authenticatie aan te zetten. Het is mij tenminste nog nooit gelukt!
06-08-2014, 10:11 door Profeet
[offtopic]
Paco Hope's "50 Ways to Inject Your SQL" :D
https://www.youtube.com/watch?v=5pSsLnNJIa4
06-08-2014, 15:12 door Vandy
En dan een beetje gaan lopen miemelen dat Joshua het stil had moeten houden. Twee maanden zou toch ruim voldoende moeten zijn (zoals Anoniem 05:05 ook al constateerde); als ze niet willen horen, moeten ze maar voelen.

Geeft te denken over hoe veilig je gegevens bij PayPal zijn. Blij dat ik er geen account heb.
07-08-2014, 08:34 door Anoniem
Het KOST erg veel geld om een dergelijke lek op te lossen, dat is de drijfveer voor zaken als Paypal en Ebay. Dat het vinden van een lek eenvoudig is ........de realiteit

U werkt zeker voor de Nederlandse overheid in de IT sector?
Onderbouw die stelling eens graag!
vr.gr.
Harry
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure