17/09/2018, 20:26

Truy cập vào tài khoản PayPal đã bị chặn một cách dễ dàng

Nhà cung cấp dịch vụ thanh toán PayPal vừa phát hiện đang tồn tại lỗ hổng Authentication Restriction Bypass, có thể cho phép tin tặc qua mặt bộ lọc dữ liệu của các dịch vụ trực tuyến và truy cập trái phép vào một tài khoản PayPal bị chặn. PayPal là một công ty thuộc sở hữu của eBay, cung ...

 paypal

Nhà cung cấp dịch vụ thanh toán PayPal vừa phát hiện đang tồn tại lỗ hổng Authentication Restriction Bypass, có thể cho phép tin tặc qua mặt bộ lọc dữ liệu của các dịch vụ trực tuyến và truy cập trái phép vào một tài khoản PayPal bị chặn.

PayPal là một công ty thuộc sở hữu của eBay, cung cấp một cách nhanh hơn và an toàn hơn dịch vụ trả tiền và được trả tiền. Dịch vụ này cung cấp cho mọi người những cách đơn giản để gửi tiền mà không phải chia sẻ thông tin tài chính, với hơn 148 triệu tài khoản đang hoạt động với 26 loại tiền tệ và trên 193 thị trường, từ đó xử lý hơn 9 triệu thanh toán hàng ngày.

Lỗ hổng an ninh thực sự nằm trong các thủ tục xác thực API trên điện thoại di động của dịch vụ trực tuyến PayPal và nó không kiểm tra các tài khoản PayPal đang bị chặn và hạn chế.

Trong trường hợp nếu một người dùng PayPal truy cập sai tên người dùng hoặc mật khẩu nhiều lần thì sau đó, vì lý do an ninh, PayPal sẽ hạn chế người sử dụng mở hoặc truy cập vào tài khoản của họ trên máy tính cho đến khi trả lời đúng một số câu hỏi bảo mật được cung cấp.

Tuy nhiên, nếu cùng một người dùng, họ đồng thời chuyển sang thiết bị di động và cố gắng truy cập tạm thời vào tài khoản PayPal bị hạn chế với các thông tin chính xác thông qua API của ứng dụng PayPal di động, người dùng sẽ có thể truy cập vào tài khoản mà không cần cung cấp bất kỳ thông tin an ninh bổ sung nào.

Lý do được lý giải rằng: “Việc kiểm tra người dùng chỉ bằng việc sử dụng API nếu tài khoản tồn tại, các API không kiểm tra một người dùng có bị chặn tài khoản hay không. Vì thế, người sử dụng bị chặn vẫn có quyền truy cập vào tài khoản PayPal của mình và thực hiện giao dịch, gửi tiền từ tài khoản”.

Đối với một số lý do an ninh khác, chẳng hạn như ngăn chặn một kẻ gian lận thu quỹ bất hợp pháp, PayPal có thể tạm thời từ chối người dùng truy cập tài khoản PayPal của họ. Trong trường hợp này, một kẻ tấn công từ xa có thể đăng nhập thông qua các API điện thoại di động để truy cập thông tin tài khoản hoặc tương tác với các tài khoản bị xâm phạm. Lỗ hổng này ảnh hưởng đến các ứng dụng di động iOS cho cả iPhone và iPad.

Lỗ hổng này trong PayPal đã được phát hiện khoảng một năm trước nhưng đến nay, bản vá cho lỗ hổng này vẫn chưa được phát hành.

Theo THN

0