PayPal исправили баг многофакторной аутентификации

PayPal исправили баг многофакторной аутентификации

PayPal исправили баг многофакторной аутентификации

Злоумышленник мог зайти в учетную запись, без использования текста подтверждения. На данный момент PayPal устранила этот недочет. Проблема была в том, как был реализован API в функции предварительного просмотра портала. Хорошая новость заключается в том, что для успешной атаки был необходим доступ к браузеру жертвы.

Весь процесс был задокументирован пошагово:

 

  1. Открыть PayPal в новой вкладке (оставить ее открытой).
  2. На другой вкладке открыть PayPal Preview.
  3. Войти в свою учетную запись на вкладке, которая была открыта в шаге 2.
  4. Введите учетные данные в появившемся окне.
  5. Обновите вкладку, которая была открыта в шаге 1.
  6. Теперь вы авторизованы, нажмите на кнопку просмотра учетной записи, откроется доступ и 2 этап проверки будет пропущен.

Другими словами: если пользователь вошел в систему с помощью предварительного просмотра портала и оставляет открытым браузер, злоумышленник получит доступ к счету жертвы, не вызывая процесс многофакторной авторизации (2FA).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Google Chrome готовится использовать ИИ для детектирования онлайн-скама

Разработчики Google Chrome пробуют использовать искусственный интеллект для защиты пользователей от онлайн-мошенничества. Соответствующую функциональность нашли в тестовых сборках Canary.

Например, Leopeva64 на площадке X указала на новый флаг в билде Chrome Canary — «Client Side Detection Brand and Intent for Scam Detection». Оказалось, он активирует большую языковую модель для анализа веб-страниц.

«Включает вывод БЯМ на страницах для запроса их назначения», — гласит описание функциональности.

Источник: BleepingComputer

 

Согласно описанию, ИИ-фича будет оценивать наличие брендов на посещаемой странице и её назначение, что должно помочь выявить признаки онлайн-мошенничества. Функциональность будет работать на трёх основных десктопных платформах: macOS, Windows и Linux.

Подробности технической стороны пока не приводятся, однако известно, что пользователи будут получать предупреждения при посещении мошеннических веб-страниц.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru