Kreativ hotelgæst: »Heldigvis for mig tog det mindre end fem minutter at omgå Paypals to-faktor-autentifikation«

Sikkerhedsforsker lod sig ikke stoppe af dårlig mobildækning på hotellet, der bevirkede, at han ikke kunne logge på Paypal.

Sikkerhedskonsulenten Henry Hoggard skulle på sin Paypal-konto, der var beskyttet med to-faktor-autentifikation. Uheldigvis var mobilsignalet på det hotel, han befandt sig på, så dårligt, at han ikke kunne modtage engangskoden til login.

Det fortæller han om et i blogindlæg.

»Forleden var jeg på et hotel, hvor jeg havde behov for at gennemføre en betaling. Der var ikke noget telefonsignal, så jeg kunne ikke modtage min to-faktor-autentifikations-token. Heldigvis for mig tog det mindre end fem minutter at omgå Paypals 2FA (to-faktor-autentifikation, red.),« skriver Hoggard.

Første skridt var at klikke på 'try another way' i feltet, hvor engangskoden ellers skulle være indtastet. Nu fik Henry Hoggard mulighed for at logge ind ved at svare på et par af de såkaldte sikkerhedsspørgsmål.

Det gjorde han ikke. I stedet skrev han ‘test’ og ‘test’ på spørgsmålene ‘hvad er navnet på dit første kæledyr’, og ‘hvad er navnet på det hospital, hvor du blev født’.

Herefter strippede han via en proxy de to parametre ‘securityQuestion0’ og ‘securityQuestion1’ fra post-dataene, som blev sendt via formularen med sikkerhedsspørgsmål. Og så var Henry Hoggard inde med beskeden 'Your account is verified'.

I en tidslinje fortæller han om forløbet, der har fundet sted i denne måned. Den 3. oktober rapporterede han således om problemet til Paypal. Hullet blev rapporteret lukket af Paypal 21. oktober - altså i sidste uge. Hoggard fik udbetalt en dusør af virksomheden samme dag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ulrik Pedersen

Og jeg som troede at alle andre udviklere end mig selv havde 100% styr på validering af deres variabler før koden kører videre ;D

OK, spøg til side, men den her er måske lige i overkanten af hvad en butik som PayPal kan forsvare at lade slippe igennem kodereview.

Mega heldigt at det var netop vores gut her som fandt hullet og ikke en slyngel.

  • 4
  • 0
Milos Game

Mega heldigt at det var netop vores gut her som fandt hullet og ikke en slyngel.

Jeg er ret sikker på, at slyngler ikke informerer virksomhederne, når de finder sikkerhedshuller.. ellers ville de jo ikke være slyngler.. :-)
Med andre ord, der er ingen garanti for, at slynglerne ikke allerede har fundet sikkerhedshullet og misbrugt det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize