Исследователи из Duo Security сообщили, что двухфакторная аутентификация в платежной системе PayPal уязвима, и ее легко можно обойти в мобильных приложениях для iOS и Android. По словам экспертов, брешь в системе Security Key существует уже несколько лет, но впервые ее обнаружил Дэн Солтман из Everyday Carry, который сообщил о своей “находке” в PayPal 29 марта 2014 г. в рамках программы по выплате вознаграждений за найденные бреши. Но, не получив ответа от компании, Солтман обратился в Duo Security.
По словам представителей Duo Security, указанные мобильные операционные системы могут манипулировать ответом сервера, создавая видимость того, что функция двухфакторной аутентификации в целевой учетной записи отключена. “Уязвимость напрямую связана с ошибкой аутентификации в web-сервисе PayPal API, который используется в официальных мобильных приложениях PayPal и некоторых сторонних компаний”, – сообщил исследователь из Duo Security – Зак Ланье. Стоит отметить, что компания PayPal заявила о намерении выпустить исправление уязвимости 28 июня нынешнего года. (PayPal/NovostIT)