Uma falha no PayPal possibilitou burlar a autenticação de dois fatores (2FA) da conta de um usuário – mostrando o que pode dar errado ao utilizar um mecanismo de segurança complexo. O aplicativo móvel do PayPal não suporta autenticação de dois fatores,
mas seu site sim. Se um usuário opta por habilitar a segurança extra no
app móvel, então o servidor notifica o aplicativo, que vai suspender o
login e notificar o usuário.
Pesquisadores descobriram uma maneira de tirar proveito dessa brecha construindo um aplicativo para enganar o app móvel e fazê-lo pensar que estava lidando com uma conta que não tinha o recurso de autenticação habilitado. O aplicativo dos pesquisadores conversava com duas interfaces de programação de aplicativos (APIs) separadas no servidor do PayPal. Um lidava com a autenticação enquanto o outro lidava com a transferência de dinheiro.
Quando o aplicativo tentava acessar a conta com autenticação de dois fatores habilitada, o app mudaria o valor “2fa_enabled” na resposta do servidor para “false”. Isso era o suficiente para o app móvel ignorar o recurso de dupla autenticação e enviar o usuário direto para a conta do PayPal.
Correção temporária
O PayPal já implantou uma correção temporária que neutraliza o
aplicativo dos pesquisadores. O app móvel não trabalha mais com contas
que possuem a autenticação de dois fatores habilitada, e os clientes
terão que continuar usando o site móvel do PayPal. A empresa adotou uma correção temporária para o problema, resultado do que pode ter sido uma falha de projeto no fluxo de autenticação entre o servidor e o aplicativo móvel do serviço de pagamento.
“Certamente há uma lição a ser aprendida pelas pessoas que fazem dupla autenticação agora ou que estejam planejando fazer no futuro”, disse Zach Lanier, pesquisador sênior da Duo Security, que ajudou o descobridor da brecha, Dan Saltman. “Quando a autenticação de dois fatores é feita de forma consistente (em
todos os serviços), ela oferece um ótimo valor”, disse Lanier. “Mas se
você tem um elo fraco na cadeia, talvez um descuido no
projeto, o esforço se perde”.
Espera-se que o PayPal libere uma correção permanente em julho, que irá
adicionar suporte à autenticação de dois fatores ao app móvel, disse
Lanier.
A Duo Security, que fornece tecnologia 2FA, liberou os detalhes da brecha no blog da empresa. Para os cibercriminosos explorarem a falha eles precisariam primeiro obter o nome de usuário e senha da vítima por meio de um ataque phishing ou outro esquema.
A PayPal se recusou a comentar o caso, mas fez uma atualização no blog na quarta-feira (25) falando sobre o ocorrido. “Possuimos vastos modelos de detecção de fraude e risco e equipes de segurança dedicadas que trabalham para ajudar a manter as contas de nossos clientes seguras, longe de transações fraudulentas, todos os dias”, escreveu.
Mais de oito em 10 (86%) dos executivos já implantaram inteligência artificial para aumentar receitas…
Metade das empresas vai adotar, até 2026, ferramentas para um monitoramento de sustentabilidade, incluindo consumo…
Um estudo recente da Accenture se dedicou a descobrir o impacto potencial da inteligência artificial…
O Barcelona, time de futebol da Catalunha, na Espanha, e a empresa de cibersegurança Fortinet,…
A Equinix anunciou na quinta (23) a construção de um novo data center no Rio…
A Netscout Systems anunciou recentemente resultados de um relatório específico sobre ataques de negação de…