Teenage-onderzoeker: uw PayPal-rekening kan worden gehackt

Anonim

Kan uw PayPal-account worden gehackt? U denkt misschien dat uw PayPal-rekening veilig is, maar denk er eens over na.

Zelfs als u zich hebt aangemeld voor de beveiligingssleutelfunctie van PayPal, moet u nog steeds nadenken over de veiligheid van uw account.

Een Australische onderzoeker - slechts 17 jaar oud - zegt dat het gemakkelijk is, voor een hacker, om de tweestaps (of twee-factor) authenticatie-voorzorgsmaatregelen van PayPal te omzeilen. Beveiligingssleutel is de invoegtoepassing van PayPal die u een sms-bericht stuurt naar uw telefoon met een tweede beveiligingssleutel die nodig is om toegang te krijgen tot uw account.

$config[code] not found

In het beveiligingsgedeelte van de officiële PayPal-website legt het bedrijf uit:

"De beveiligingssleutel van PayPal geeft u een tweede authenticatiefactor wanneer u zich aanmeldt bij uw account. Naast uw wachtwoord voert u een One Time Pin (OTP) in die uniek is voor elke login. Deze twee factoren zorgen voor een betere accountbeveiliging. "

Maar dat is niet zo, zoals Joshua Rogers tegen PC Magazine zegt. Het probleem met de beveiligingssleutelfunctie van PayPal is verbonden met eBay. En een hacker heeft alleen de inloggegevens van eBay en PayPal nodig om toegang te krijgen tot de rekening die het geld bezit. Als je eBay autoriseert om onmiddellijk zijn kosten van je PayPal-rekening af te schrijven wanneer een verkoop is voltooid, kan je PayPal-account kwetsbaar zijn.

Op zijn blog beschrijft Rogers:

"Bij het instellen hiervan wordt u (uiteraard) gevraagd om uw PayPal-login. Nadat u bent ingelogd, wordt een cookie ingesteld met uw gegevens en wordt u omgeleid naar een pagina om de details van het proces te bevestigen. En dit is waar de exploit ligt. Nu hoeft u alleen maar http://www.paypal.com/ in te laden en bent u ingelogd en hoeft u uw login niet opnieuw in te voeren. "

PC Magazine merkt op dat er nog een maas in deze functie is wanneer iemand die de beveiligingssleutel heeft ingeschakeld geen telefoon heeft. Als ze geen tekstbericht met die tweede code kunnen ontvangen, kunnen ze ervoor kiezen om twee beveiligingsvragen te beantwoorden. Het magazine suggereert dat dit soort informatie ook beschikbaar is voor hackers.

Door publiekelijk te gaan met de fout in het beveiligingssysteem van PayPal, mist Rogers elke compensatie voor zijn ontdekking. PayPal biedt zelfs een bonusprogramma aan voor onderzoekers die het bedrijf waarschuwen voor beveiligingsfouten. Rogers vertelt aan PC Magazine dat hij begin juni aan PayPal zijn werk heeft verteld, maar niets is van zijn meldingen geworden.

Remix van Shutterstock-monitorbeeld

5 Opmerkingen ▼