Un ricercatore di sicurezza ha scoperto una vulnerabilità nel sistema di autenticazione in due passi (2FA) di PayPal che potrebbe consentire ad un malintenzionato di accedere all’account degli utenti, senza inserire il codice a sei cifre. Dopo aver contattato l’azienda, circa due mesi fa, Joshua Rogers ha deciso di divulgare pubblicamente i dettagli della falla. PayPal ha ammesso la sua esistenza, specificando che il problema è limitato ad un “piccolo numero di integrazioni con Adaptive Payments“.
La vulnerabilità è stata individuata nella pagina di eBay che permette agli utenti di collegare l’account di eBay all’account di PayPal. Il linking degli account crea un cookie che consente di eseguire il login, eludendo l’autenticazione in due passi. La funzione “integrated-registration“, contenuta nell’indirizzo della pagina di redirect, non controlla se la 2FA è stata attivata. Il processo può essere ripetuto un’infinità di volte, anche se gli account vengono nuovamente separati. A fine giugno, era stata scoperta un’altra falla nel sistema 2FA che consentiva di accedere all’account e di effettuare pagamenti non autorizzati con le app mobile.
PayPal ha rilasciato il seguente comunicato relativo alla vulnerabilità individuata dal ricercatore australiano:
Siamo a conoscenza di un problema sull’autenticazione a due fattori (2FA) che è limitato ad un piccolo numero di integrazioni con Adaptive Payments. 2FA è un livello extra di sicurezza che alcuni utenti hanno scelto di aggiungere ai loro account PayPal. Stiamo lavorando per risolvere il problema più velocemente possibile. È importante chiarire che 2FA fornisce un’assicurazione extra per mantenere gli account sicuri, tuttavia username e password sono ancora richiesti per accedere agli account PayPal.
Gli utenti che non usano la security key di PayPal (card fisica o codici SMS), come step addizionale per il login, non sono colpiti in nessun modo. Se hai scelto di aggiungere 2FA al tuo account PayPal, il tuo account continuerà ad operare come di consueto sulla grande maggioranza dei prodotti PayPal. Abbiamo modelli di rilevazione dei rischi e delle frodi, e team di sicurezza dedicati che lavorano per mantenere gli account degli utenti sicuri dalle transazioni fraudolente, ogni giorno. Ci scusiamo per gli eventuali disagi causati agli utenti che utilizzano il nostro processo 2FA e continueremo a lavorare sodo per risolvere il problema.
In attesa della risoluzione del problema, è consigliabile conservare gelosamente le credenziali di accesso, prestando attenzione ad eventuali tentativi di furto digitale.