Nhà nghiên cứu tuổi teen: Tài khoản PayPal của bạn có thể bị hack

Anonim

Tài khoản PayPal của bạn có thể bị hack không? Bạn có thể nghĩ rằng tài khoản PayPal của bạn an toàn, nhưng hãy suy nghĩ lại.

Ngay cả khi bạn đã đăng ký tính năng PayPal Security Security Key, bạn vẫn cần phải suy nghĩ về sự an toàn của tài khoản của mình.

Một nhà nghiên cứu người Úc - chỉ mới 17 tuổi - nói rằng rất dễ dàng, đối với một hacker, để có được các biện pháp phòng ngừa xác thực hai bước (hoặc hai yếu tố) của PayPal. Khóa bảo mật là tiện ích bổ sung PayPal, gửi cho bạn một tin nhắn văn bản tới điện thoại của bạn với khóa bảo mật thứ hai cần thiết để truy cập vào tài khoản của bạn.

$config[code] not found

Trong phần bảo mật của trang web PayPal chính thức, công ty giải thích:

Khóa bảo mật PayPal cung cấp cho bạn yếu tố xác thực thứ hai khi bạn đăng nhập vào tài khoản của mình. Ngoài mật khẩu của bạn, bạn nhập Mã pin một lần (OTP) duy nhất cho mỗi lần đăng nhập. Hai yếu tố này cung cấp cho bạn bảo mật tài khoản mạnh mẽ hơn.

Nhưng điều đó không giống như Joshua Rogers nói với Tạp chí PC. Sự cố với tính năng PayPal Security Security Key được kết nối với eBay. Và một hacker chỉ cần một thông tin đăng nhập của người dùng eBay eBay và PayPal để truy cập vào tài khoản đang giữ tiền. Nếu bạn ủy quyền cho eBay rút tiền ngay lập tức khỏi tài khoản PayPal của bạn khi việc bán hàng hoàn tất, tài khoản PayPal của bạn có thể bị tổn thương.

Trên blog của mình, Rogers mô tả:

Khi thiết lập tính năng này, bạn có thể yêu cầu đăng nhập PayPal. Khi bạn thực sự đăng nhập, một cookie được đặt với các chi tiết của bạn và bạn đã được chuyển hướng đến một trang để xác nhận các chi tiết của quy trình. Và đây là nơi khai thác. Bây giờ chỉ cần tải http://www.paypal.com/ và bạn đã đăng nhập và không cần nhập lại thông tin đăng nhập của bạn.

Tạp chí PC lưu ý rằng một lỗ hổng khác trong tính năng này xảy ra khi một người đã bật Khóa bảo mật không có điện thoại. Nếu họ có thể nhận được một tin nhắn văn bản với mã thứ hai đó, họ có thể chọn trả lời hai câu hỏi bảo mật. Tạp chí cho thấy rằng loại thông tin cũng có sẵn cho tin tặc.

Bằng cách công khai với lỗ hổng trong hệ thống bảo mật PayPal, Rogers sẽ bỏ lỡ bất kỳ khoản bồi thường nào cho khám phá của mình. PayPal thực sự cung cấp Chương trình Bounty cho các nhà nghiên cứu cảnh báo công ty về các lỗi bảo mật. Rogers nói với Tạp chí PC rằng ông đã nói với PayPal về công việc của mình vào đầu tháng 6 nhưng không có gì trở thành cảnh báo của ông.

Hình ảnh màn hình Remix của Shutterstock

5 Bình luận