To-faktor-autentifikation på PayPal er hullet

Artiklen blev oprindeligt publiceret den 26/6/2014

Funktionen til at beskytte konti med to-faktor-autentifikation på PayPal kan omgås. Sikkerhedshullet står åbent.

Fejlen kan udnyttes via PayPals app til smartphones og andre apps, der kommunikerer via firmaets API (Application Programming Interface). En angriber kan ændre på data, der sendes til API'et, og få fuld adgang til kontoen.

Det kræver dog, at angriberen kender brugerens brugernavn og password. Det er altså udelukkende den ekstra sikkerhed i form af en engangskode, der er sat ud af kraft.

PayPal oplyser, at de har stoppet for muligheden for at bruge appen, hvis man har slået to-faktor-autentifikation til. De venter at rette fejlen den 28. juli.

Anbefaling
Brug et sikkert password til PayPal. Brug forskellige passwords til alle tjenester.

Links

• Duo Security Researchers Uncover Bypass of PayPal’s Two-Factor Authentication, blogindlæg fra Duo Security
• PayPal security protection is 'shoddy', say researchers, artikel fra The Guardian
• How to Bypass PayPal Two Factor Authentication, blogindlæg af Graham Cluley