Um adolescente australiano que encontrou uma falha de segurança no site de uma autoridade de transporte público australiano encontrou outra vulnerabilidade grave, desta vez no site do provedor global de pagamentos PayPal.
A falha, descoberta pelo estudante Joshua Rogers, permitiu hackers para contornar o sistema de autenticação de dois fatores do provedor de pagamento, o que adiciona uma camada extra de segurança opcional através de um código de um tempo enviado via SMS para o usuário, ou um gerador de números de cartão.
Com o acesso à conta do PayPal da vítima usando a falha, um hacker poderia ter comprado itens on-line ou retirado dinheiro da conta.
Josué disse ao Fairfax Media, através de e-mail que ele publicou um post no blog em 4 de agosto com um link para um vídeo do YouTube demonstrando o problema depois que a empresa de pagamento ignorou seu e-mail inicial sobre a falha em 5 de junho.
Ele disse entender que, se ele esperou por uma resposta e não divulgar a falha publicamente que ele poderia ter sido recompensado em dinheiro para o seu achado, mas acrescentou que ele não se importava com o dinheiro e queria "a acelerá-los em consertá-lo ".
PayPal disse em um comunicado na sexta-feira para Fairfax que o tema foi "contida" e só impactado "um pequeno número de clientes."
"Estamos trabalhando duro para resolver este problema com uma pequena quantidade de integrações com Adaptive Payments, que esperamos ser resolvido em breve", disse um porta-voz.
O porta-voz destacou que a autenticação de dois fatores foi uma medida de segurança opcional e adicional que apenas 0,27 por cento da base de clientes Australianos.
Eles também disseram utilizar outros sinais - como o endereço IP de um titular de conta - para confirmar a identidade do usuário e para evitar fraudes. E se qualquer fraude já foi cometida, o valor seria devolvido, disseram.
Para fazer uso da falha, um hacker precisava saber o login do PayPal do seu destino, o que não é necessariamente difícil, se a vítima teve suas credenciais vazaradas em uma violação de dados ou roubados por software mal-intencionado.