Джошуа Роджерс, 17-летний хакер из Австралии, сказал о наличии серьезной прорехи в платежной системе PayPal. Уязвимость дает возможность злоумышленнику обойти двухфакторную авторизацию — усиленную защиту аккаунта, которая подразумевает ввод PIN-кода, приходящего в виде СМС. Для доступа к интернет-кошельку ему надо знать только связку из логина и пароля от учетных записей в PayPal и eBay.

2-этапная авторизация есть на многих крупных сайтах, включая твиттер, Фейсбук, Google и " ВКонтакте". Двухуровневую защиту нередко применяют и онлайн-банки для одобрения переводов денежных средств с высокой степенью риска. Код, как правило, приходит в виде СМС на номер телефона либо формируется внутри мобильного приложения.

Роджерс нашел способ миновать защиту и войти в систему с помощью одних логина и пароля от аккаунтов в PayPal и eBay. Добыть их с зараженного компьютера гораздо проще, чем перехватить цифровую комбинацию. Ошибка находится на странице интернет-аукциона, позволяющей связать аккаунты PayPal и eBay (дочерняя Фирма PayPal) друг с другом. В результате привязки создается cookie-файл, который и вынуждает PayPal " думать", что пользователь авторизовался в системе, несмотря на то что 6-символьный PIN-код введен не был.

По данным Роджерса, он уведомил администрацию PayPal об уязвимости еще 5 июня, однако никакой реакции не получил. В результате хакер поведал о " дыре" в собственном блоге и приложил видеоинструкцию на ютубе. Фирма до тех пор пока не парировала на его действия.

Как подчеркивает PCWorld, существует и другие способы обойти 2-факторную авторизацию PayPal. Так, если у пользоваться нет возможности ввести PIN-код, ему предложат ответить на два контрольных вопроса. Они достаточно простые (к примеру, " Как называлась ваша первая учебное заведение?" или " Как назывался роддом, где вы родились?" ) и имеют возможность быть известны злоумышленнику, знакомому с жертвой.