Pratite nas preko RSS-aMladi haker otkrio propust u PayPalovom mehanizmu dvofaktorne autorizacije
Vesti, 06.08.2014, 09:25 AM
Sedamnaestogodišnji haker Džošua Rodžers iz Melburna u Australiji otkrio je bezbednosni propust u PayPalovom sistemu dvofaktorne autorizacije (2FA) koji može omogućiti napadaču pristup nalogu sa uključenom 2FA opcijom i to bez unošenja koda za potvrdu identiteta.
Dvofaktorna autorizacija je usluga koju sada nude mnogi internet servisi kao dodatni sloj zaštite naloga. 2FA mehanizam sprečava zloupotrebu ukradenih korisničkih imena i lozinki, zahtevajući unos nasumično generisanog sigurnosnog koda tokom procesa provere identiteta korisnika naloga. U zavisnosti od implementacije, sigurnosni kodovi mogu biti generisani pomoću specijalne mobilne aplikacije, mogu se slati korisniku putem SMS poruka ili emailova ili se generisati pomoću posebnih uređaja.
I PayPal nudi svojim korisnicima ovu uslugu, a 2FA kod se korisniku šalje putem SMS poruke na jedan od brojeva telefona koje je korisnik naveo prilikom aktiviranja ove opcije, ili se sigurnosni kod dobija uz pomoć fizičkog generatora kodova koji je veličine kreditne kartice.
Rodžers je propust koji omogućava da se na veoma jednostavan način zaobiđe 2FA zaštita otkrio početkom juna, i odmah o svom otkriću obavestio PayPal. Međutim, pošto ni posle dva meseca problem nije rešen, sedamnaestogodišnji haker je rešio da izađe u javnost sa informacijama o svom otkriću.
Propust koji je Rodžers otkrio je u procesu povezivanja eBay naloga sa PayPal nalogom (PayPal je u vlasništvu eBaya). Da bi zaobišao 2FA zaštitu za PayPal nalog, napadač mora znati korisničko ime i lozinku za PayPal nalog potencijalne žrtve, što nije nemoguće u vremenu krađa i curenja podataka.
Rodžers je otkrio da se prilikom povezivanja eBay naloga sa PayPal nalogom, korisnik preusmerava na stranicu na koju treba da unese korisničko ime i lozinku za PayPal nalog.
Nakon unošenja korisničkog imena i lozinke, korisnik može da učita PayPal stranicu i pristupi nalogu bez unošenja koda za 2FA.
Kada se korisnik presumeri na stranicu za prijavljivanje na PayPal nalog, URL sadrži “=integrated-registration”. Problem je u tome što “=integrated-registration” funkcija ne proverava 2FA kod, iako se korisnik prijavljuje na PayPal nalog sa uključenom 2FA.
“Kada ste prijavljeni, kolačić sa vašim podacima je postavljen, i vi ste preumereni na stranicu da se potvrde detalji procesa”, objašnjava Rpdžers. “I u tome leži exploit. Sada samo učitajte http://www.paypal.com/ i prijavljeni ste, i ne morate ponovo unositi svoje korisničko ime.”
Rodžers kaže da PayPal nalog koji se hakuje može da bude povezan sa bilo kojim eBay nalogom. On je napravio novi eBay nalog sa privremenim emailom, i uspeo da uđe u svoj PayPal nalog na isti način. “Ustvari, radi čak i bez eBay naloga”, kaže Rodžers.
Rodžers je na YouTubeu postavio video snimak na kome je pokazao kako funkcioniše bag.
Rodžers je o svom otkriću obavestio PayPal 5. juna, a od kompanije je dobio dva odgovora, jedan 27. juna i sledeći 4. jula. Međutim, propust do danas nije ispravljen. Objavljivanjem informacija o propustu Rodžers se praktično odrekao prava na nagradu iz PayPalovog fonda za nagrađivanje istraživača koji otkriju i prijave kompaniji propuste u servisu.
Iz PayPala kažu da znaju da postoji propust u 2FA i da rade na njegovom uklanjanju.
“Na korisnike koji ne koriste PayPal sigurnosni kod kao dodatni korak u prijavljivanju na naloge propust ne utiče na bilo koji način. Ako ste odabrali da dodate 2FA svom PayPal nalogu, vaš nalog će nastaviti da radi kao i obično. Mi imamo opsežne modele za otkrivanje prevara i rizika i namenske bezbednosne timove koji svakodnevno pomažu da nalozi naših korisnika budu sačuvani od lažnih transakcija.”
PayPal se izvinio korisnicima 2FA opcije i obećao da će, što je pre moguće, rešiti ovaj problem.
Ovo nije prvi put da se otkrije propust u PayPalovom 2FA mehanizmu. U junu ove godine, istraživači firme Duo Security takođe su otkrili propust u 2FA i pokazali kako je moguće zaobići 2FA uz pomoć mobilne aplikacije za PayPal koja ne proverava 2FA kod ako se prekine veza sa serverom odmah pošto se pošalju korisničko ime i lozinka. Istraživači su ovaj bag demonstrirali tako što su na iOS uređaju uključili Airplane Mode pre nego što je stigla 2FA poruka sa servera, i zatim se ponovo povezali na internet, posle čega im je bio omogućen pristup nalogu bez 2FA koda.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
.jpg)
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
.jpg)
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade
Prijatelji
