17-летний житель Мельбурна Джошуа Роджерс еще 5 июня обнаружил уязвимость в системе двухфакторной авторизации в PayPal и сообщил о ней в компании. PayPal поблагодарила за бдительность, но уязвимость так и не исправила. Так что он сделал то, что бы сделало большинство подростков на его месте: описал уязвимость в своем блоге.
Согласно его схеме, чтобы атака прошла успешно, хакеру нужно знать логин пользователя в eBay и PayPal, впрочем, вирусы, собирающие такую информацию с зараженных компьютеров, существуют уже давно. Уязвимость связана со страницей eBay, которая позволяет привязывать аккаунт eBay к PayPal (который принадлежит eBay).
Привязка аккаунта создает cookie, который PayPal-приложение воспринимает как подтверждение того, что пользователь залогинился, несмотря на то, что 6-значный код еще не введен. Видео о том, как работает уязвимость, Роджерс также опубликовал на YouTube:
Такой шаг – публичная публикация информации о дыре в безопасности – лишила Джошуа награды в примерно $3000. Вознаграждение получают специалисты по безопасности, которые конфиденциально сообщают компании об уязвимостях, пишет PCWorld. “Меня не волнуют деньги, деньги – это еще не все в жизни”, – написал он в комментарии изданию.
В компании PayPal отметили, что о проблеме знают и работают над ее устранением, но она затронула небольшое количество пользователей: “Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по SMS). Если у вас установлена двухэтапная авторизация, то ваш аккаунт будет работать в прежнем режиме”.
Напомним, недавно антивирусная компания ESET обнаружила троян для Android, шифрующий данные на смартфоне и вымогающий деньги у русскоязычных пользователей. После установки на смартфон, вирус сканирует содержимое SD-карты и шифрует все найденные видео, фото и документы. Затем на экран устройства выводится сообщение на русском языке, которое обещает разблокировать устройство за 260 грн.
