Это были трудные несколько недель для гиганта онлайн-платежей PayPal. Сначала появилось подтверждение, что взлом аутентификации позволит злоумышленнику получить доступ к учетной записи после фишинга учетных данных, минуя инструменты аутентификации финансовой фирмы. Теперь же в другом отчете о безопасности утверждается, что весь процесс проверки подлинности можно обойти, что позволяет злоумышленнику получить доступ к учетной записи с украденными учетными данными, доступными для покупки в темной сети “всего за 1,50 доллара”.
Отчет составлен исследовательской группой CyberNews и включает в себя жалобу на то, что выводы не были серьезно восприняты PayPal или командой HackerOne, которая представляет такие отчеты. CyberNews объясняет:
“Когда наши аналитики обнаружили шесть уязвимостей в PayPal, начиная от опасных эксплойтов, которые могут позволить любому обойти их двухфакторную аутентификацию, до возможности отправлять вредоносный код через их систему SmartChat, мы столкнулись с безразличием и отсутствием признания уязвимости”.
Компания PayPal, со своей стороны заявила, что всегда серьезно относится к подобным представлениям, и рассматривает каждое из них с соответствующим чувством приоритета. Также она заявила:
“Мы обнаружили, что представленные материалы не представляют угрозы и выдвигаемые опасности со стороны CyberNews, являются неточными и вводящими в заблуждение”.
HackerOne не стал комментировать и вместо этого сослался на заявление PayPal.
CyberNews в свою очередь заявляет:
“Мы бы хотели, чтобы PayPal более серьезно отнесся к этой уязвимости. В настоящее время PayPal списывает предупреждение, как нечто не входящее в сферу действия только потому, что оно связано с похищенными учетными данными”.
Чтобы понять спор между PayPal и CyberNews, важно понять, каким образом PayPal защищает учетные записи пользователей. PayPal находится в несколько уникальном положении, зная все об обеих сторонах каждой транзакции, включая историю поведения, среду входа в систему, недавнюю активность и потенциальный риск того, что транзакция может быть мошеннической. Детали тщательно соблюдаются, но системы компании фиксируют множество точек данных.
Источник: https://leisurecentre.ru/polzovateli-paypal-vnov-okazyvayutsya-v-opasnosti/