Уязвимость в мобильном приложении PayPal позволяет миновать двухфакторную аутентификацию
Главная » Новости

Уязвимость PayPal позволяет миновать двухфакторную аутентификацию

Александр Панасенко 08 Сентября 2015 - 15:01
...

Основатель и CEO компании Vulnerability Lab Бенджамин Кунц Меджри (Benjamin Kunz Mejri) обнаружил в API мобильных приложений компании PayPal уязвимость, позволяющую миновать двухфакторную аутентификацию и получить доступ  даже к заблокированному аккаунту платежной системы.

Баг распространяется на оба мобильных приложения – для Android и iOS.

Компания PayPal частенько просит пользователей подтвердить свою личность, таким образом стараясь защитить их от интернет-мошенничества. Для подтверждения личности пользователь должен позвонить или оправить email в PayPal, а пока это не было сделано, аккаунт пользователя блокируется, пишет xakep.ru.

Меджри, однако, сумел обойти данную систему. «Мой PayPal аккаунт заблокирован, я не могу залогиниться на сайт или просто залогиниться, не имея действительных cookie. Однако, когда появляется сообщение об ошибке, там есть редирект. Использование этого редиректа ведет к открытию сайта внутри приложения, и краху всей процедуры проверки. В итоге, этот метод позволяет обойти механизмы авторизации и защиты», — пишет Меджри.

Действительно, видео ниже показывает, что многократные попытки войти в заблокированный аккаунт и использование cookies от действительной сессии помогли эксперту миновать блокировку и войти в аккаунт:

Меджри сообщил, что данный метод позволяет обойти не только механизм проверки личности, но и систему двухфакторной аутентификации PayPal. Как только доступ к аккаунту получен, у атакующего есть возможность изменить пароль и другие детали профиля пользователя.

По состоянию на 8 сентября 2015 года баг не исправлен. Vulnerability Lab сообщает, что PayPal признает существование проблемы, но серьезно недооценивает ее важность. Тем не менее, по мнению экспертов, уязвимостью могут воспользоваться хакеры, так как баг можно эксплуатировать удаленно, вовлечение пользователя в процесс не требуется.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В 5-10 раз вырастут штрафы за несоблюдение требований к защите госданных
Яков Шпунт 07 Февраля 2025 - 12:20
Утечки информацииУмышленные утечки информацииКража данныхСоответствие законодательству РФ КорпорацииГосударство Соответствие требованиям регуляторов
В 5-10 раз вырастут штрафы за несоблюдение требований к защите госданных

Правительство внесло в Госдуму законопроект, ужесточающий административную ответственность за нарушение требований по защите информации в государственных системах, включая данные, содержащие государственную или коммерческую тайну.

Документ под номером 835235-8 уже опубликован в Системе обеспечения законодательной деятельности. Он предусматривает внесение поправок в статью 13.12 Кодекса об административных правонарушениях (КоАП).

В пояснительной записке к законопроекту приводятся данные Национального координационного центра по компьютерным инцидентам. Согласно им, с начала специальной военной операции увеличилось число кибератак, связанных с несанкционированным доступом к информации ограниченного доступа, а также с нарушением работы информационных систем государственных органов и организаций.

Анализ причин инцидентов показал, что успешные атаки стали возможны из-за несоблюдения требований к защите информации, установленных нормативными правовыми актами Российской Федерации.

В документе также представлена статистика по привлечению к административной ответственности за подобные нарушения. Она демонстрирует значительный рост: в 2023 году количество оштрафованных юридических лиц более чем в четыре раза превысило показатели 2019 года.

Законопроект предусматривает повышение штрафов за использование несертифицированных информационных систем и средств защиты информации:

  • для граждан — от 5 000 до 10 000 рублей (сейчас 1 500–2 500 рублей);
  • для должностных лиц — от 10 000 до 50 000 рублей (сейчас 2 500–3 000 рублей);
  • для юридических лиц — от 50 000 до 100 000 рублей (сейчас 20 000–25 000 рублей).

Если несертифицированные средства защиты используются для информации, содержащей государственную тайну, штрафы будут еще выше:

  • для должностных лиц — от 20 000 до 50 000 рублей (сейчас 3 000–4 000 рублей);
  • для юридических лиц — от 50 000 до 100 000 рублей (сейчас 20 000–30 000 рублей), с конфискацией несертифицированных средств защиты.

Штрафы за нарушение требований по защите информации, как относящейся к государственной тайне, так и не подпадающей под нее, увеличатся минимум в пять раз, а в некоторых случаях — в десять раз. Кроме того, предлагается увеличить срок давности привлечения к ответственности до одного года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Период распродаж сопровождался ростом активности DDoS и ботов
Новость
Период распродаж сопровождался ростом активности DDoS и бото...
В новом релизе Axiom JDK устранили 18 уязвимостей
Новость
В новом релизе Axiom JDK устранили 18 уязвимостей
Standoff Bug Bounty включили в реестр российского софта
Новость
Standoff Bug Bounty включили в реестр российского софта

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.