Scoperta falla in PayPal, sarà chiusa nei prossimi giorni

Scoperta falla in PayPal, sarà chiusa nei prossimi giorni

Secondo quanto evidenziato da due ricercatori informatici della Duo Labs, sarebbe possibile bypassare l’autenticazione a due fattori (2FA) di PayPal per via di una falla sulla libreria pubblica del sistema di pagamento api.paypal.com: il problema sarebbe relativo alle versioni sia desktop che mobile.

Un eventuale attaccante non avrebbe bisogno di autenticare via 2FA, infatti, l’account della vittima, sempre ammesso che ne conosca username (l’email) e la password, rendendo il meccanismo di protezione del tutto vano. L’attacco è stato dettagliato nel post ufficiale del sito della Duo Labs. L’app mobile di PayPal non sembra attualmente supportare gli account con doppio livello di protezione, per cui è possibile vanificarne l’uso ignorando semplicemente il flag inserito nel codice, permettendo così un facile abuso del sistema. Per precauzione gli utenti di PayPal dovrebbero valutare di cambiare la propria password, specie se non lo fanno da molto tempo, in modo da ridurre a prescindere la portata dell’attacco.

La 2FA, per chi non lo sapesse, è un meccanismo di protezione degli account che aggiunge un layer di sicurezza alla consueta coppia username + password, e coincide di solito con un token fisico come, ad esempio, una chiavetta che generi password utilizzabili una sola volta (One Time Passwords).

 


Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.