Sikkerhedskonsulenten Henry Hoggard skulle på sin Paypal-konto, der var beskyttet med to-faktor-autentifikation. Uheldigvis var mobilsignalet på det hotel, han befandt sig på, så dårligt, at han ikke kunne modtage engangskoden til login.
Det fortæller han om et i blogindlæg.
»Forleden var jeg på et hotel, hvor jeg havde behov for at gennemføre en betaling. Der var ikke noget telefonsignal, så jeg kunne ikke modtage min to-faktor-autentifikations-token. Heldigvis for mig tog det mindre end fem minutter at omgå Paypals 2FA (to-faktor-autentifikation, red.),« skriver Hoggard.
Første skridt var at klikke på 'try another way' i feltet, hvor engangskoden ellers skulle være indtastet. Nu fik Henry Hoggard mulighed for at logge ind ved at svare på et par af de såkaldte sikkerhedsspørgsmål.
Det gjorde han ikke. I stedet skrev han ‘test’ og ‘test’ på spørgsmålene ‘hvad er navnet på dit første kæledyr’, og ‘hvad er navnet på det hospital, hvor du blev født’.
Herefter strippede han via en proxy de to parametre ‘securityQuestion0’ og ‘securityQuestion1’ fra post-dataene, som blev sendt via formularen med sikkerhedsspørgsmål. Og så var Henry Hoggard inde med beskeden 'Your account is verified'.
I en tidslinje fortæller han om forløbet, der har fundet sted i denne måned. Den 3. oktober rapporterede han således om problemet til Paypal. Hullet blev rapporteret lukket af Paypal 21. oktober - altså i sidste uge. Hoggard fik udbetalt en dusør af virksomheden samme dag.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
