Подросток смог сломать двухфакторную аутентификацию PayPal

Недавно вся Интернет-общественность была ошарашена довольно интересной новостью, связанной со взломом одного из аккаунтов системы PayPal.

С первого взгляда такое не представляется возможным даже для сверхопытного Интернет-мошенника. Ведь PayPal всегда славилась своей надежностью. Делать попытки зайти на один из аккаунтов платежной системы не решался даже самый искусный хакер. Причина проста – это безнадежно. Ведь для входа в аккаунт PayPal используется система так называемой двухфакторной аутентификации. Её работа заключается в запросе у юзера не только стандартных данных, но и специального пароля, который приходит лично ему на телефон. Перехватить это сообщение невозможно. Как результат, Ваш аккаунт надежно защищен. Но на самом деле всё не так гладко.

4 августа «неприступный» PayPal удалось взломать. И каким же было удивление сотрудников платежной системы, когда они поняли, кому удалось обвести их вокруг пальца. Это был не маститый хакер с 20-летним стажем и не хитрый сотрудник конкурентов. «Мошенником» оказался подросток из Мельбурна. Джошуа Роджерс (именно так зовут этого парня) уже выложил запись об инциденте в свой блог.

Шустрые сотрудники PayPal хотели замять ситуацию и предлагали юному австралийцу 3 тысячи долларов за молчание. Однако дело чести было для Джошуа выше собственной выгоды. Он рассказал про способ обхода двухфакторной аутентификации. Как не странно, способ этот был довольно прост.

Джошуа воспользовался тем, что к надежному аккаунту PayPal привязывается аккаунт на eBay, который не может похвастаться двухфакторной аутентификацией. Eсли зайти в данную учетную запись, то PayPal автоматически подключит юзера и к себе, без запроса каких-либо паролей. Таким образом, созданный в приложении Cookie-файл дал подростку доступ к нужной информации. Проблемная функция “=integrated-registration” не проверяет, была ли приведена в действие двухфакторная аутентификация.

Эта информация начала настоящую панику среди клиентов системы PayPal. Её сотрудники уже пообещали решить проблему в кратчайшие сроки.

Ранее некоторым умельцам также удавалось пробить защиту платежного сервиса. Ведь если у Вас нет возможности получить СМС, вы можете ответить на 2 проверочных вопроса. Для маститого хакера не составит труда найти ответы на них.

Что касается Джошуа, то он ломает сложные защиты online-сервисов не в первый раз. Вундеркинд запомнился взломом сайта общественного транспорта штата Виктория. Из-за этого Роджерс даже имел проблемы с полицией.