PayPal-fout laat zien hoe u GEEN tweefactorauthenticatie moet gebruiken

Door een PayPal-fout kon de tweefactorauthenticatie van een gebruikersaccount worden omzeild, wat illustreert wat er mis kan gaan bij het implementeren van een

gecompliceerd beveiligingsmechanisme.

PayPal heeft een oplossing ontwikkeld voor het probleem, dat mogelijk veroorzaakt is door een ontwerpfout in de authenticatiestroom tussen de mobiele app van de

betaaldienst en de server.

[Snel bewustzijn creëren: het datalek op eBay]

“Er is zeker een les te leren voor mensen die nu of in de toekomst tweefactorauthenticatie gebruiken”, zegt Zach Lanier, senior onderzoeker bij Duo Security, die de

externe onderzoeker die de fout ontdekte, Dan Saltman, hielp.

De mobiele app van PayPal ondersteunt geen tweefactorauthenticatie (2FA), maar wel op de website. Als een accounthouder die voor de verbeterde beveiligingsoptie heeft

gekozen, de mobiele app gebruikt, zal de server de app waarschuwen, waardoor het inlogproces wordt onderbroken en de gebruiker op de hoogte wordt gesteld.

De onderzoekers bedachten een methode om gebruik te maken van deze onhandige opzet door een mobiele app te maken die de mobiele app voor de gek hield door te geloven

dat het te maken had met een account waarvoor 2FA niet was ingeschakeld.

Op de server van PayPal communiceerde de app van de onderzoekers met twee verschillende Application Programming Interfaces (API’s). De ene was verantwoordelijk voor

authenticatie en de andere voor geldoverdrachten.

Toen de app probeerde toegang te krijgen tot een account met 2FA-functionaliteit, werd de antwoordwaarde van de server voor “2fa enabled” ingesteld op “false”. Dit was

voldoende voor de mobiele app om de 2FA-functie te omzeilen en de gebruiker naar zijn PayPal-rekening te leiden.

De bypass werd gedetailleerd op de Duo Security-blog, die 2FA-technologie verkoopt.

Om misbruik te maken van de bug, moeten cybercriminelen eerst de gebruikersnaam en

het wachtwoord van een rekeninghouder verkrijgen via phishing of een ander plan.

PayPal heeft een tijdelijke oplossing geïmplementeerd die de app voor onderzoekers voorlopig uitschakelt. Met 2FA-geactiveerde accounts werkt de mobiele app niet meer

en zullen accounthouders in plaats daarvan de mobiele website van PayPal moeten gebruiken.

PayPal weigerde commentaar te geven, maar verwees in plaats daarvan naar een

blogpost van woensdag die het gebrek aan 2FA-ondersteuning in de mobiele app bagatelliseerde.

“We hebben uitgebreide modellen voor fraude- en risicodetectie, evenals toegewijde beveiligingsteams die eraan werken om de accounts van onze klanten elke dag te

beschermen tegen frauduleuze transacties”, aldus het bedrijf.

PayPal zal naar verwachting in juli een permanente patch uitbrengen die 2FA-ondersteuning aan de mobiele

app zal toevoegen, aldus Lanier.

[Financiële bedrijven en sociale media blijven de belangrijkste doelen op het gebied van phishing]

“Wanneer het goed en betrouwbaar wordt uitgevoerd (tussen services), biedt tweefactorauthenticatie veel waarde”, aldus Lanier. “Als er echter één zwakke schakel in de

ketting zit, zoals we hier hebben gezien – kan het een ontwerpfout zijn – dan is het allemaal voor niets.”

We hopen dat de informatie in dit artikel nuttig was bij het oplossen van uw PayPal-fout, zodat u kunt blijven genieten van uw streaming. Kunt u hier geen oplossing vinden, dan kunt u contact opnemen met Bellen PayPal Klantenservice .

Published by Elinathomas

Gigaset Contact Nederland +31-182796553 provides you hassle-free, as well as specific customer support for all types of mailing errors. Gigaset Contact Nederland provided by our experts is not bounded to a specific area. We believe in providing help and technical support to our users in every possible way that will result in the ease of their work for sure. Our customer support is available 24/7 for your service on Gigaset Contact Nederland: +31-182796553. https://klantenservices.co/gigaset-contact/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Create your website with WordPress.com
Get started
%d bloggers like this: