17-летний австралийский подросток обошёл систему двухфакторной аутентификации, реализуемую компанией PayPal для повышения безопасности учётных записей пользователей.
Уточним, что двухфакторная аутентификация представляет собой ввод специального кода в дополнение к логину и паролю при входе на сайт.
Код отправляется на мобильный телефон пользователя в виде SMS, или генерируется специальным приложением. Таким образом, перехватить его практически невозможно.
Однако, Джошуа Роджерс (JoshuaRogers), 17-летний самородок из Мельбурна, Австралия, сумел обойти данную систему защиты. Для успешного обхода хакеру понадобились логин и пароль от учётных записей жертвы в eBay и PayPal.
Уязвимость кроется в том, что eBay позволяет привязывать свою учётную запись к PayPal. При этом создается cookie-файл, который заставляет сайт PayPal считать, что пользователь успешно вошёл в систему. Таким образом, код двухфакторной аутентификации игнорируется.
В мире электроники встречаются и менее безобидные уязвимости. Ранее «белый хакер» обнаружил брешь в кардиостимуляторах, которая позволяет останавливать работу устройств через Bluetooth.
Хакер оказался перед непростым выбором: можно ли публично обнародовать своё открытие, не нанеся вреда огромному количеству владельцев подобных устройств?