Mostrando las entradas con la etiqueta Actualidad geek. Mostrar todas las entradas
Una característica de seguridad ofrecido por PayPal para ayudar a prevenir las cuentas de ser tomadas por los piratas informáticos pueden ser fácilmente eludidas, un investigador de seguridad de Australia ha encontrado esta vulnerabilidad.
Los usuarios de PayPal pueden optar por recibir un código de acceso de seis dígitos a través de mensaje de texto con el fin de acceder a sus cuentas. Se introduce después que se presenta un nombre de usuario y contraseña.
La función de seguridad, conocida como la autenticación de dos factores, es una opción en muchos servicios en línea tales como Google y obligatoria en muchos sitios web de servicios financieros para ciertos tipos de transacciones de alto riesgo. Dado que el código se envía fuera de línea o generado por una aplicación móvil, es mucho más difícil para los hackers interceptar, aunque de ninguna manera imposible.
Joshua Rogers, con sede en Melbourne de 17 años de edad, encontró la manera de obtener acceso a una cuenta de PayPal en la que se ha habilitado la autenticación de dos factores. Él publicó los detalles del ataque en su blog el lunes después de que él dijo que PayPal no pudo solucionar el error a pesar de haber sido notificado el 5 de junio.
Por hacer pública la información, Rogers perderá una recompensa que paga PayPal a los investigadores de seguridad, que requiere confidencialidad hasta que se solucione la vulnerabilidad de software. Rogers estima que la recompensa podría ser de alrededor de $ 3000, a pesar de que PayPal no le dio una referencia.
"No me importa el dinero", dijo a través de correo electrónico. "El dinero no lo es todo en este mundo."
La culpa es de una página de eBay que permite a los usuarios vincular su cuenta de eBay con PayPal, que es propietaria de eBay. La vinculación de las cuentas crea una cookie que hace que la aplicación de PayPal haga creer que la persona ha iniciado sesión, incluso si no se ha introducido un código de seis dígitos, escribió Rogers en su blog.
El problema radica específicamente en la función "=-registro _integrated", escribió Rogers, que no comprueba si la víctima tiene la autenticación de dos factores habilitado. Un atacante podría crear repetidamente el acceso a la cuenta de PayPal mediante la vinculación y la desvinculación de las cuentas de una persona de eBay y PayPal, escribió. Él publicó un vídeo del ataque en YouTube.
Funcionarios de PayPal no pudieron ser contactados inmediatamente para hacer comentarios.
La autenticación de dos factores del procesador de pagos potencialmente podía ser derrotado por otros medios. Por ejemplo, si un usuario no tiene una forma de recibir el código de seis dígitos, PayPal les permite saltar en lugar de responder a dos preguntas de seguridad.
Estas cuestiones, que incluyen "¿Cuál es el nombre de su primera escuela?" Y "¿Cuál es el nombre del hospital en el que usted nació?" Podría decirse que no son difíciles de identificar para un hacker que ha estado perfilando a una víctima.
Pero como con muchas defensas en línea, las compañías se ven obligadas a hacer concesiones entre la comodidad y la seguridad, tratando de encontrar el equilibrio adecuado entre la seguridad y no alienar a los usuarios excluidos de sus cuentas.
Rogers tiene un récord de encontrar problemas en los servicios en línea.
