Jovem de 17 anos descobre falhas na autenticação 2-step do PayPal

Quem se preocupa com a sua segurança online saberá que é altamente recomendável utilizar os sistemas de autenticação 2-step em todos os serviços que os permitam. O que poderão não saber, é que no caso do PayPal esse sistema pode não ser tão seguro quanto esperavam.


Quem descobriu esta falha foi um jovem australiano de 17 anos, que ainda recentemente descobriu outra vulnerabilidade na agência de transportes do seu país que lhe permitiu aceder a mais de meio milhão de registos de utentes. Embora ele tenha contactado o PayPal alertando para esta vulnerabilidade, como o problema não foi resolvido passados 2 meses decidiu divulgar publicamente a falha de modo a que a pressão do público possa servir de incentivo para que isso seja feito.

A vulnerabilidade recorre à ligação que existe entre o Ebay e Paypal, sendo que um atacante que consiga aceder às credenciais de login poderá entrar no Ebay e fazer a associação das contas - fazendo com que o hacker possa ter acesso ao PayPal sem que lhe seja pedido o código de autenticação adicional.

Para além disso, o PayPal permite também que se faça login mesmo sem ter o código, respondendo a perguntas de segurança que podem ser facilmente deduzidas por um hacker mais decidido (com respostas que muitas vezes poderão ser encontradas no Facebook da "vítima"). Sim, tenham cuidado com os sites que recorrem a perguntas de segurança como "nome da mãe, cor favorita, escola em que andou, etc." pois podem acabar por ser a porta de entrada de hackers na vossa conta (eu respondo sempre com coisas do tipo: "cor favorita: sjkdah735£kj5h£ekfuy" que assim não há dúvidas.)

Ao divulgar publicamente esta vulnerabilidade o jovem hacker perde o direito à recompensa dada pelo PayPal a quem reportar confidencialmente as falhas encontradas, mas depois de se terem passado os dois meses sem ver uma solução, o jovem fartou-se e diz que "o dinheiro não é tudo na vida".