Falha no PayPal mostra como não usar a autenticação de dois fatores

Uma falha no PayPal possibilitou burlar a autenticação de dois fatores (2FA) da conta de um usuário – mostrando o que pode dar errado ao utilizar um mecanismo de segurança complexo. O aplicativo móvel do PayPal não suporta autenticação de dois fatores,
mas seu site sim. Se um usuário opta por habilitar a segurança extra no
app móvel, então o servidor notifica o aplicativo, que vai suspender o
login e notificar o usuário.

Pesquisadores descobriram uma maneira de tirar proveito dessa brecha construindo um aplicativo para enganar o app móvel e fazê-lo pensar que estava lidando com uma conta que não tinha o recurso de autenticação habilitado. O aplicativo dos pesquisadores conversava com duas interfaces de programação de aplicativos (APIs) separadas no servidor do PayPal. Um lidava com a autenticação enquanto o outro lidava com a transferência de dinheiro.

Quando o aplicativo tentava acessar a conta com autenticação de dois fatores habilitada, o app mudaria o valor “2fa_enabled” na resposta do servidor para “false”. Isso era o suficiente para o app móvel ignorar o recurso de dupla autenticação e enviar o usuário direto para a conta do PayPal.

Correção temporária

O PayPal já implantou uma correção temporária que neutraliza o
aplicativo dos pesquisadores. O app móvel não trabalha mais com contas
que possuem a autenticação de dois fatores habilitada, e os clientes
terão que continuar usando o site móvel do PayPal. A empresa adotou uma correção temporária para o problema, resultado do que pode ter sido uma falha de projeto no fluxo de autenticação entre o servidor e o aplicativo móvel do serviço de pagamento.

“Certamente há uma lição a ser aprendida pelas pessoas que fazem dupla autenticação agora ou que estejam planejando fazer no futuro”, disse Zach Lanier, pesquisador sênior da Duo Security, que ajudou o descobridor da brecha, Dan Saltman. “Quando a autenticação de dois fatores é feita de forma consistente (em
todos os serviços), ela oferece um ótimo valor”, disse Lanier. “Mas se
você tem um elo fraco na cadeia, talvez um descuido no
projeto, o esforço se perde”.

Espera-se que o PayPal libere uma correção permanente em julho, que irá
adicionar suporte à autenticação de dois fatores ao app móvel, disse
Lanier.

A Duo Security, que fornece tecnologia 2FA, liberou os detalhes da brecha no blog da empresa. Para os cibercriminosos explorarem a falha eles precisariam primeiro obter o nome de usuário e senha da vítima por meio de um ataque phishing ou outro esquema.

A PayPal se recusou a comentar o caso, mas fez uma atualização no blog na quarta-feira (25) falando sobre o ocorrido. “Possuimos vastos modelos de detecção de fraude e risco e equipes de segurança dedicadas que trabalham para ajudar a manter as contas de nossos clientes seguras, longe de transações fraudulentas, todos os dias”, escreveu.