image

PayPal dicht beveiligingslek in tweefactorauthenticatie

zondag 23 oktober 2016, 09:22 door Redactie, 1 reacties
Laatst bijgewerkt: 23-10-2016, 14:32

PayPal heeft een kwetsbaarheid in de tweefactorauthenticatie gedicht die het mogelijk maakte om de beveiligingsmaatregel op eenvoudige wijze te omzeilen. Tweefactorauthenticatie zorgt ervoor dat een gebruiker tijdens het inlooggen naast zijn wachtwoord een aanvullende code moet invoeren.

Deze code kan via sms worden verkregen of is via een smartphone-app te genereren. Dit moet voorkomen dat aanvallers die het wachtwoord van een gebruiker hebben gestolen, bijvoorbeeld via phishing, op het account kunnen inloggen, aangezien ze geen controle over de telefoon hebben. PayPal biedt gebruikers die geen telefoon bij de hand hebben de mogelijkheid om deze "tweede factor" op een andere manier te bewijzen, namelijk via het beantwoorden van een beveiligingsvraag.

Beveiligingsonderzoeker Henry Hoggard ontdekte dat het via een proxy mogelijk was om de beveiligingsvraag uit de informatie die naar PayPal werd gestuurd te verwijderen, waarna PayPal de aangepaste data accepteerde en alleen het opgegeven wachtwoord controleerde. Volgens Hoggard had hij de kwetsbaarheid binnen 5 minuten gevonden. Na op 3 oktober te zijn ingelicht meldde de betaaldienst op 21 oktober dat het probleem was verholpen, waarop de beveiligingsonderzoeker een beloning ontving. Om wat voor bedrag het gaat laat Hoggard niet weten. Ook is hij in de PayPal "Wall of Fame" opgenomen.

Reacties (1)
23-10-2016, 11:16 door Anoniem
"Dit moet voorkomen dat aanvallers die het wachtwoord van een gebruiker hebben gestolen ... niet op het account kunnen inloggen" ???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.