Authentification PayPal Processus défauts qui rend les comptes bloqués accessible - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
CYBER NOUVELLES

Authentification PayPal Processus défauts qui rend les comptes bloqués accessible

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

Une faille dans le processus de filtrage des restrictions de compte via l'API mobile permet comptes accessibles bloqué sans aucun détail de sécurité supplémentaires demandées.

La technique typique de la sécurité dans de tels cas est de bloquer le compte et d'exiger une réponse à une ou plusieurs questions de sécurité si une combinaison nom d'utilisateur-mot de passe incorrect a été saisi à plusieurs reprises.
Mais, dans ce cas, si l'utilisateur passe à un appareil mobile et fournit les informations correctes, le problème est éliminé.

Accédant à des comptes bloqués PayPal à partir d'un appareil iOS

Authentification PayPal Processus défauts qui rend les comptes bloqués accessible
Il ya d'autres raisons pour un compte pour bloqués, par exemple, pour empêcher les escrocs d'accéder à des fonds obtenus illégalement.
La découverte de la faille a été faite par Benjamin Kunz Mejri de laboratoire de la vulnérabilité et a été immédiatement signalé à PayPal. La vulnérabilité a été rapportée dans la campagne Bug Bounty in Mars 2013 et n'a pas été fixée à ce jour.

Til vulnérabilité

La faille a été découverte dans l'application mobile iOS pour iPad et iPhone. Les deux produits ne vérifient pas pour les drapeaux de restriction qui pourraient bloquer l'accès au compte. La version affectée de l'application iOS est 4.6.0. Aurait le défaut est toujours actif dans la dernière version 5.8.
Selon le rapport de défaut, l'API ne vérifie pas le blocage partiel ou un compte rendu complet. La seule chose vérifiée par l'API est si le compte existe ou non. L'utilisateur bloqué ne peut effectivement accéder à son compte PayPal et effectuer des transactions.

The Glitch manifestes dans une vidéo

La découverte de la faille a été soutenue avec une vidéo, démontrer le fonctionnement de la vulnérabilité. Le film montre une personne d'entrer de fausses références à plusieurs reprises pour le compte serait se bloquer. Comme il est demandé de fournir la réponse à la question de sécurité, l'utilisateur passe à un appareil iOS et fournit les détails du compte correctes et gagne ainsi l'accès au compte bloqué.

Le rapport de défaut indique que la faille de sécurité a un score de base CVSS de 6.2, mais il n'y a aucun identificateur assigné.

avatar

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...