Accueil > Nouvelles Cyber > Une faille dans le processus d'authentification PayPal rend les comptes bloqués accessibles
CYBER NOUVELLES

Authentification PayPal Processus défauts qui rend les comptes bloqués accessible

Une faille dans le processus de filtrage des restrictions de compte via l'API mobile permet comptes accessibles bloqué sans aucun détail de sécurité supplémentaires demandées.

La technique typique de la sécurité dans de tels cas est de bloquer le compte et d'exiger une réponse à une ou plusieurs questions de sécurité si une combinaison nom d'utilisateur-mot de passe incorrect a été saisi à plusieurs reprises.
Mais, dans ce cas, si l'utilisateur passe à un appareil mobile et fournit les informations correctes, le problème est éliminé.

Accédant à des comptes bloqués PayPal à partir d'un appareil iOS

Authentification PayPal Processus défauts qui rend les comptes bloqués accessible
Il ya d'autres raisons pour un compte pour bloqués, par exemple, pour empêcher les escrocs d'accéder à des fonds obtenus illégalement.
La découverte de la faille a été faite par Benjamin Kunz Mejri de laboratoire de la vulnérabilité et a été immédiatement signalé à PayPal. La vulnérabilité a été rapportée dans la campagne Bug Bounty in Mars 2013 et n'a pas été fixée à ce jour.

Til vulnérabilité

La faille a été découverte dans l'application mobile iOS pour iPad et iPhone. Les deux produits ne vérifient pas pour les drapeaux de restriction qui pourraient bloquer l'accès au compte. La version affectée de l'application iOS est 4.6.0. Aurait le défaut est toujours actif dans la dernière version 5.8.
Selon le rapport de défaut, l'API ne vérifie pas le blocage partiel ou un compte rendu complet. La seule chose vérifiée par l'API est si le compte existe ou non. L'utilisateur bloqué ne peut effectivement accéder à son compte PayPal et effectuer des transactions.

The Glitch manifestes dans une vidéo

La découverte de la faille a été soutenue avec une vidéo, démontrer le fonctionnement de la vulnérabilité. Le film montre une personne d'entrer de fausses références à plusieurs reprises pour le compte serait se bloquer. Comme il est demandé de fournir la réponse à la question de sécurité, l'utilisateur passe à un appareil iOS et fournit les détails du compte correctes et gagne ainsi l'accès au compte bloqué.

Le rapport de défaut indique que la faille de sécurité a un score de base CVSS de 6.2, mais il n'y a aucun identificateur assigné.

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord