Un nuovo rapporto sulla sicurezza sostiene che qualsiasi hacker può concludere l’intera procedura di autenticazione e ottenere l’accesso completo all’account di un utente PayPal. Per compiere questa impresa, si possono utilizzare credenziali rubate che possono essere acquistate sul dark web per un minimo di un dollaro.
Il nuovo avviso arriva da CyberNews: “I nostri analisti hanno scoperto queste vulnerabilità in PayPal: ci sono pericolosi exploit che possono consentire a chiunque di aggirare l’autenticazione a due fattori (2FA), oltre alla possibilità di inviare codice dannoso attraverso il sistema SmartChat”, ha dichiarato Bernard Meyer di CyberNews.
“Vorremmo che PayPal prendesse più sul serio questa vulnerabilità“, ha detto CyberNews a Zak Doffman di Forbes.
Doffman afferma che i ricercatori di CyberNews hanno fatto di tutto per dimostrare come gli hacker operassero. “Anche se non c’è modo di conoscere lo stato dell’algoritmo di back-end che controlla il processo, sembrava effettivamente aggirare il controllo“, ha scritto.
Come hanno aggirato la sicurezza di PayPal
Una delle funzionalità chiave di PayPal è che la piattaforma conosce ogni piccolo dettaglio su entrambi i lati di una transazione: venditore e acquirente, destinatario e mittente, ecc. Per fare in modo che ciò avvenga senza problemi per l’utente, PayPal tiene traccia dell’attività dell’utente, dei tipi dei dispositivi utilizzati e di eventuali malintenzionati noti che cercano di derubare un consumatore. PayPal mantiene tutti quei dati il più vicino possibile al suo giubbotto.
L’allarme di PayPal inizia a suonare se nota che un consumatore sta, ad esempio, utilizzando un nuovo telefono per accedere al proprio account o sta effettuando l’accesso da una posizione diversa da quella a cui è abituato.
Quando questo accade, PayPal preme fa il possibile per assicurarsi che l’utente sia davvero chi dice di essere. Una volta che l’utente può verificarlo, il processo può continuare.
CyberNews afferma che c’è un modo per aggirare questo metodo. Nella dimostrazione dell’azienda a Doffman, è stato in grado di dimostrare che qualsiasi hacker in possesso delle credenziali rubate di qualcuno può aggirare il sistema, persino mascherarsi da membro del team di supporto PayPal, se necessario.