Twee-factor authenticatie PayPal rammelt
Two-factor authentication is bedoeld als extra beveiliging, bovenop aanmelding via inlognaam en wachtwoord. De 'tweede factor' bestaat dan uit een code die na het invoeren van het wachtwoord via een onafhankelijk kanaal aan de gebruiker bekend wordt gemaakt. Het kan dan bijvoorbeeld gaan om een met een zogeheten random-calculator gegenereerd getal of om een per SMS-toegezonden code.
Shutterstock
Shutterstock
De techniek wordt op steeds sites gebruikt, omdat de combinaties van inlognaam en wachtwoord kwetsbaar blijkt voor datadiefstal door middel van malware of phishing.
Via e-Bay bij PayPal naar binnen
PayPal gebruikt SMS-codes als tweede factor. Maar de daarmee opgeworpen extra drempel tegen hackers is te omzeilen door slim gebruik te maken van een door PayPal mogelijk gemaakte verbinding tussen PayPal- en eBay-accounts (de veilingsite eBay is eigendom van PayPal). Hoe de truc precies in z'n werk gaat door wordt uit de doeken gedaan in het blog van de 17-jarige Joshua Rogers.
Rogers meldde het lek al op 5 juni aan PayPal. Nu de financiële dienstverlener er na twee maanden nog steeds niets aan heeft gedaan vond Rogers het tijd worden om de internet-gemeenschap te waarschuwen. Daardoor loopt hij wel een beloning van naar schatting enkele duizenden dollars mis, maar kennelijk acht hij zijn reputatie als beveiligingsonderzoeker met principes waardevoller.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee