Jump to content

Recommended Posts

Posted

Компания не исправила брешь, не посчитав ее критической.

Основатель и глава компании Vulnerability Lab Бенджамин Кунц Межри (Benjamin Kunz Mejri) сообщил об уязвимости в мобильном приложении PayPal, позволяющей обойти двухфакторную аутентификацию и получить доступ даже к заблокированной учетной записи пользователя. Брешь затрагивает версии программы для iOS и Android.

С целью предотвращения мошенничества в некоторых случаях PayPal может запрашивать у пользователя подтверждение личности и блокировать его учетную запись. Для того чтобы ее разблокировать, необходимо позвонить или отправить электронное письмо на адрес сервиса согласно всплывающей форме. По словам Межри, уязвимость позволяет удаленному злоумышленнику получить доступ к заблокированному аккаунту путем множественных попыток авторизации.

«Осуществляя множественные попытки запросить форму с помощью реально существующей учетной записи (x01445@gmail.com:chaos666), мы смогли обойти проверку подлинности личности ее владельца, – сообщил Межри. – API загружает контекст сайта, и пользователь может включить в процесс идентификации с помощью движка браузера собственный пользовательский аккаунт. Даже если учетная запись заблокирована, пользователь может получить доступ через мобильный API с уже существующими файлами cookie».

Эта техника также срабатывает для обхода двухфакторной аутентификации, поскольку, получив доступ к учетной записи, атакующий может изменить ее настройки, в том числе пароль.

По словам Межри, он сообщил PayPal об уязвимости еще в апреле нынешнего года. Компания не исправила брешь, не посчитав ее критической. Эксперт не согласился с такой оценкой и опубликовал видео, демонстрирующее эксплуатацию уязвимости.  

Напомним, что на прошлой неделе в PayPal была обнаружена XSS-уязвимость.

http://www.securitylab.ru/news/474591.php

 

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • Гендиректор PayPal Алекс Крисс: Стейблкоинам еще далеко до массового внедрения

      По оценкам генерального директора PayPal Алекса Крисса (Alex Chriss), сейчас стейблкоины не сильно распространены для совершения повседневных платежей, однако со временем ситуация может измениться. Крисс отметил, что, несмотря на появление стейблкоина PYUSD, запущенного платежной компанией PayPal в 2023 году, пользователям до сих пор сложно использовать этот вид криптовалют для ежедневных покупок. Они привыкли пользоваться кредитными картами, банковскими переводами и мобильными приложениями

      in Новости криптовалют

    • Топ-менеджер PayPal Хосе Фернандес да Понте: Стейблкоины раскроют свой потенциал при участии банков

      Старший вице-президент по цифровым активам в PayPal Хосе Фернандес да Понте (Jose Fernandez da Ponte) заявил, что потенциал стейблкоинов может быть целиком раскрыт только при участии банковских учреждений. Выступая на конференции Consensus 2025 в Торонто, Хосе Фернандес да Понте признал, что стейблкоины, привязанные к фиатным валютам, стали новым способом перемещения активов между волатильным пространством криптовалют и более предсказуемой традиционной финансовой системой, которая контролир

      in Новости криптовалют

    • Американский регулятор прекратил расследование в отношении стейблкоина PayPal

      Комиссия по ценным бумагам и биржам США (SEC) прекратила расследование в отношении стейблкоина PayPal (PYUSD), обеспеченного долларом США. Регулятор не будет принимать принудительные меры против эмитента. Руководство PayPal напомнило, что в ноябре 2023 года компания получила от отдела SEC по соблюдению правовых норм повестку в суд. Регулятор потребовал от компании предоставить документы, связанные со стейблкоином PYUSD. Однако в феврале 2025 года SEC уведомила платежную компанию о завершени

      in Новости криптовалют

    • Команда Ledger обнаружила критическую уязвимость в кошельках Trezor

      Производитель аппаратных криптокошельков Ledger выявил уязвимость в устройствах своего конкурента Trezor, что позволило последнему оперативно устранить проблему в моделях Safe 3 и Safe 5. Эксперты исследовательского подразделения Ledger Donjon обнаружили уязвимость в кошельках Trezor Safe 3 и Safe 5 — встроенный микроконтроллер оказался подвержен атакам с перебоями напряжения, что потенциально позволяет вносить изменения в его прошивку.   Этот вид аппаратной атаки предполагает, что зл

      in Новости криптовалют

    • Дональд Трамп назначил на должность «криптоцаря» представителя «мафии PayPal»

      Новоизбранный президент США Дональд Трамп назначил на должность «криптоцаря» Дэвида Сакса, который входит в так называемую «мафию PayPal» — неформальное объединение бывших учредителей платежной фирмы. Одной из задач Дэвида Сакса (David Sacks) будет работа над нормативно-правовой базой для цифровых валют. Он возглавит совет по науке и новым технологиям при президенте, и будет отвечать за защиту свободы слова в интернете и противодействие предвзятости и цензуре со стороны крупных технологичес

      in Новости криптовалют

×
×
  • Create New...