Jovem de 17 anos descobre grave falha de segurança no PayPal

Por Redação | 05 de Agosto de 2014 às 14h09

Um jovem australiano encontrou uma simples maneira de contornar um recurso oferecido pelo PayPal a fim de garantir mais segurança às contas dos usuários.

No PayPal, os usuários podem optar por receber uma senha de seis dígitos via mensagem de texto, a fim de acessar suas contas. O número é solicitado após a entrada da senha.

O recurso, conhecido como autenticação de dois fatores, é uma opção em muitos serviços online como Google e obrigatório em muitos sites de serviços financeiros para certos tipos de transações de alto risco. Uma vez que o código é enviado offline ou gerado por um aplicativo móvel, torna-se muito mais difícil para hackers interceptar os dados.

Joshua Rogers, um jovem de 17 anos que vive em Melbourne, encontrou uma maneira de obter acesso não autorizado a uma conta do PayPal mesmo utilizando a autenticação de dois fatores. Ele publicou detalhes do ataque em seu blog na segunda-feira depois de o PayPal não ter corrigido a falha mesmo tendo sido notificado no dia 5 de junho.

Ao ir a público com a informação, Rogers perderá uma recompensa - que poderia chegar a 3 mil dólares - normalmente paga pelo PayPal para pesquisadores de segurança que requer sigilo até que uma vulnerabilidade no serviço seja corrigida.

"Eu não me importo com o dinheiro, não", disse ele ao IT World. "O dinheiro não é tudo neste mundo."

O ataque requer que o hacker saiba as credenciais de login de uma pessoa no eBay e no PayPal, o que pode ser feito facilmente com softwares maliciosos como keyloggers.

A brecha é de uma página no eBay que permite ao usuário vincular sua conta do eBay com a do PayPal. Ligando as contas, é criado um cookie que faz com que o software do PayPal ache que a pessoa está conectada, mesmo se um código de seis dígitos não foi digitado. O problema reside especificamente na função "=_integrated-registration", escreveu Rogers, que não verifica se a vítima tem autenticação de dois fatores ativada. Rodgers postou um vídeo demonstrando o ataque no YouTube.

O PayPal ainda não se manifestou oficialmente sobre a vulnerabilidade encontrada.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.