Depois ter avisado a empresa, um jovem australiano mostra como o sistema de segurança, baseado em dois factores, pode ser suplantado. Diz estar disposto a perder uma recompensa de três mil dólares.
Um recurso de segurança disponibilizado pela PayPal para ajudar a prevenir a usurpação de contas de utilizadores pode ser facilmente contornado, diz um jovem australiano, Joshua Rogers. No sistema baseado em dois factores, os utilizadores podem optar por receber uma password de seis dígitos por SMS, para acederem às suas contas.
O número é introduzido depois de submetido um nome de utilizador e uma password. É um recurso de segurança usado em muitos serviços online como os da Google, sendo em alguns casos obrigatório em muitos sites de serviços financeiros para certos tipos de transacções (de alto risco).
O indivíduo de 17 anos descobriu uma forma de suplantar a medida de segurança e publicou detalhes do ataque no seu blog, durante a última segunda-feira. Afirma que antes, a 5 de Junho, avisou a empresa mas esta PayPal não conseguiu corrigir a falha.
Ao divulgar a informação, Rogers perderá uma recompensa, normalmente paga pelo PayPal para investigadores de segurança, mediante sigilo até uma vulnerabilidade de software ser corrigida. O jovem estima que a recompensa poderá chegar aos três mil euros, embora a PayPal não lhe tenha fornecido um valor.
“Eu não me importo com o dinheiro, não”, diz Rogers. “O dinheiro não é tudo neste mundo.” O ataque exige saber os dados de autenticação de uma pessoa no eBay e no PayPal, mas vários programas de software nocivo são capazes de obter facilmente esses detalhes a partir de computadores comprometidos.
O problema será de uma página no eBay que permite aos utilizadores vincularem a sua conta de eBay à de PayPal. Ligar as contas cria um “cookie”, para a aplicação de PayPal detectar a presença do utilizador, mesmo se um código de seis dígitos não for introduzido, explica Rogers no seu blog.
Especificamente a falha está na função “= _integrated-registration”, diz, que não verifica se a potencial vítima tem autenticação de dois factores activada. Um intruso poderá repetidamente tem acesso à conta do PayPal, ligando e desligando as contas de eBay e PayPal, de uma pessoa. Rogers mostra o ataque no YouTube.
O jovem tem já um histórico na descoberta de problemas em serviços online. Em Julho, foi advertido pela polícia, depois de um acordo com a mesma para não ser judicialmente acusado, ao ter descoberto uma vulnerabilidade no site de uma das autoridades de transporte público da Austrália, no ano passado.