Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Doble autenticación de PayPal puede evadirse fácilmente
La característica de seguridad ofrecida por PayPal para evitar que sus usuarios sean víctimas de atacantes puede evadirse fácilmente de acuerdo al investigador de seguridad australiano, Joshua Rogers, quien publicó la información después de haber notificado a PayPal del fallo el pasado 5 de junio.
Los usuarios de PayPay pueden decidir si quieren recibir un mensaje de texto de seis dígitos en su celular para poder tener acceso a sus cuentas. El código recibido se ingresa después de haberse autenticado correctamente con un nombre de usuario y contraseña.
Esta característica de seguridad, conocida como autenticación de doble factor, es una opción para muchos servicios en Internet y es obligatoria para servicios bancarios en línea, debido al riesgo de algunas transacciones. Debido a que el código es enviado o generado por otros medios que no están en línea, es mucho más difícil para los atacantes interceptarlo, sin embargo no es imposible.
Joshua Rogers vive en Melbourne, Australia. Él encontró la forma de tener acceso a una cuenta de PayPal con autenticación de doble factor habilitada. Publicó los detalles de este fallo en su blog el día de ayer. Joshua notificó el fallo a PayPal el 5 de junio pasado y a la fecha no ha habido solución.
El ataque consiste en conocer las credenciales de acceso de una persona a eBay y PayPal, ya que al enlazar las cuentas se crea una cookie que permite a la aplicación de PayPal asegurar que el usuario inició sesión, a pesar de no haber ingresado un código de 6 dígitos. El problema reside en una función que no revisa si el usuario ha habilitado el factor de doble autenticación, por lo que un atacante podría tener acceso a las cuentas al enlazar y desenlazarlas repetidamente. Para ver el fallo en acción, Joshua publicó el siguiente video:
No se ha podido contactar a los responsables de PayPal para saber algo al respecto. Otra forma de poder evadir a la autenticación de dos factores de PayPal es si un usuario no tiene forma de poder recibir el código de seis dígitos, puede responder dos preguntas de seguridad entre las cuales se encuentran preguntas como: ¿Cuál es el nombre de su escuela primaria- o ¿Cómo se llama el hospital en donde naciste-, preguntas que no pueden ser difíciles de contestar por un atacante quien ha estado aplicando técnicas de ingeniería social a su víctima.
