Autenticação no PayPal é facilmente contornada
Depois ter avisado a empresa, jovem australiano mostra como o sistema de segurança, baseado em dois fatores, é falho.

Um recurso de segurança disponibilizado pela PayPal para ajudar a prevenir o sequestro de contas de usuários pode ser facilmente contornado, diz um jovem australiano, Joshua Rogers. No sistema baseado em dois fatores, os usuários podem optar por receber uma password de seis dígitos por SMS, para acessarem suas contas.

O número de telefone é informado depois do fornecimento de um nome de usuário e uma password. Um recurso de segurança usado em muitos serviços online como os da Google, sendo até obrigatório em muitos sites de serviços financeiros para certos tipos de transações (de alto risco).

Joshua Rogers, de 17 anos, residente em Melbourne, descobriu uma forma de burlar a medida de segurança e publicou detalhes do ataque no seu blog, esta semana.

Embora tenha comunicado a falha à empresa no início de Julho, a PayPal ainda não conseguiu corrigir a falha. Por isso, ao divulgar a informação, Rogers perderá uma recompensa, normalmente paga pelo PayPal para pesquisadores de segurança, mediante sigilo até que a  vulnerabilidade de software descoberta seja corrigida. O jovem estima que a recompensa poderá chegar aos três mil euros, embora a PayPal não tenha infromado o valor.

“Não me importo com o dinheiro, não”, diz Rogers. “O dinheiro não é tudo neste mundo.”

O ataque exige que o hacker conheça os dados de autenticação de uma pessoa no eBay e no PayPal, mas vários malware são capazes de obter facilmente esses detalhes a partir de computadores comprometidos.

Uma página no eBay que permite aos usuários vincularem a sua conta de eBay à do PayPal cria um “cookie”, para que a aplicação de PayPal possa detectar a presença do usuárior, mesmo se um código de seis dígitos não for introduzido, explica Rogers no seu blog.

Especificamente a falha está na função “= _integrated-registration”, diz, que não verifica se a potencial vítima tem autenticação de dois fatores ativada. Um intruso poderá repetidamente ter acesso à conta do PayPal, ligando e desligando as contas de eBay e PayPal, de uma pessoa. Rogers mostra o ataque no YouTube.

O jovem já tem histórico na descoberta de problemas em serviços online. Em Julho, foi advertido pela polícia, depois de um acordo com a mesma para não ser judicialmente acusado após ter descoberto uma vulnerabilidade no site de uma das autoridades de transporte público da Austrália, no ano passado.

Fonte: http://idgnow.com.br/internet/2014/08/05/autenticacao-no-paypal-e-facilmente-contornada/