Teenage Researcher: votre compte PayPal peut être piraté

Anonim

Votre compte PayPal peut-il être piraté? Vous pensez peut-être que votre compte PayPal est sécurisé, mais détrompez-vous.

Même si vous vous êtes inscrit à la fonction de clé de sécurité de PayPal, vous devez toujours vous interroger sur la sécurité de votre compte.

Un chercheur australien - âgé de 17 ans à peine - a déclaré qu’il était facile, pour un pirate informatique au moins, de contourner les précautions d’authentification de PayPal en deux étapes (ou deux facteurs). La clé de sécurité est l’add-on de PayPal qui vous envoie un message texte sur votre téléphone avec une deuxième clé de sécurité nécessaire pour accéder à votre compte.

$config[code] not found

Dans la section sécurité du site Web officiel de PayPal, la société explique:

«La clé de sécurité PayPal vous donne un deuxième facteur d’authentification lorsque vous vous connectez à votre compte. En plus de votre mot de passe, vous entrez un identifiant unique (OTP) unique pour chaque connexion. Ces deux facteurs renforcent la sécurité de votre compte. "

Mais ce n’est pas le cas, comme le dit Joshua Rogers à PC Magazine. Le problème lié à la fonction de clé de sécurité de PayPal est lié à eBay. Et un pirate informatique n’a besoin que des informations de connexion eBay et PayPal d’un utilisateur pour accéder au compte qui détient l’argent. Si vous autorisez eBay à retirer immédiatement ses frais de votre compte PayPal à la fin d'une vente, votre compte PayPal pourrait être vulnérable.

Rogers décrit sur son blog:

«Lors de la configuration, vous êtes (évidemment) invité à vous connecter à PayPal. Une fois que vous êtes réellement connecté, un cookie est défini avec vos coordonnées et vous êtes redirigé vers une page pour confirmer les détails du processus. Et c'est là que réside l'exploit. Maintenant, chargez simplement http://www.paypal.com/, et vous êtes connecté sans avoir à entrer à nouveau votre identifiant. ”

PC Magazine note qu'une autre échappatoire dans cette fonctionnalité se produit lorsqu'une personne qui a activé la clé de sécurité n'a pas de téléphone. S'ils ne peuvent pas recevoir de SMS avec ce second code, ils peuvent choisir de répondre à deux questions de sécurité. Le magazine suggère que ce type d'informations est également facilement disponible pour les pirates.

En rendant public le défaut du système de sécurité de PayPal, Rogers ne percevra aucune indemnité pour sa découverte. PayPal propose en fait un programme de primes pour les chercheurs qui alertent l'entreprise sur les failles de sécurité. Rogers raconte à PC Magazine qu'il a parlé de son travail à PayPal début juin, mais que ses alertes ne sont pas restées inchangées.

Remix de l'image du moniteur Shutterstock

5 commentaires ▼