Duo Security的一份新报告显示,PayPal的双因素认证技术可以绕过,在线支付公司(不反对调查结果)正在对其移动用户禁用双因素认证。双因素身份验证是一种广泛推荐的方法,旨在为用户帐户访问提供额外的安全层。除了静态密码之外,双因素身份验证还要求用户随机生成第二个密码(或因素),以便访问站点或服务。在贝宝的例子中,这个机制被颠覆了。
Duo Security本身并没有发现PayPal的双因素认证被绕过。研究人员丹索尔特曼在3月28日发现了绕行问题,并将其报告给了PayPal的漏洞奖励计划。4月22日,Saltman在没有收到PayPal的状态更新后联系了Duo Security。Duo Security高级安全研究员Zach Lanier向eWEEK解释说,Saltman是Duo Security CEO Dag Song的朋友。
拉尼尔说:“双因素认证已经并仍在PayPal的Web属性中全面实施(例如,www.paypal.com)。”“这是身份验证过程中的一个缺陷,因为它与api.paypal.com及其向mobileclient.paypal.com的扩展有关。”
鉴于今日Duo Security的披露,PayPal已就其Web和移动客户端上双因素身份验证支持的当前状态发布声明。
PayPal全球计划高级总监Anuj Nayar表示:“作为预防措施,我们已经禁止选择双因素身份验证的客户在PayPal移动应用程序和其他一些移动应用程序上登录其PayPal帐户。“这些客户仍然可以通过访问PayPal移动网站,在移动设备上登录他们的PayPal帐户。”
虽然Saltman在3月28日首次向PayPal报告了这个问题,但拉尼尔指出,向PayPal报告这个问题不一定是第一次,也不一定是唯一一次。他说,这个问题从来没有公开讨论或披露过,所以有可能之前已经报道过。
拉尼尔说:“当反思PayPal似乎对其API和移动应用程序所做的一些改变和大修时,尤其是在身份验证过程中,这一缺陷很可能是在2010年或2012年引入的。”他补充说,尚不清楚该漏洞是否被恶意攻击者残忍利用。
披露程序
根据拉尼尔与PayPal漏洞奖励计划的沟通时间,Duo Security于6月9日通知PayPal,并计划于6月25日公开披露此问题。6月19日,PayPal向Duo Security发出请求,要求延迟公开披露,并指出PayPal的目标修复日期为7月28日。
对于哆安全未能遵守PayPal延迟披露要求的原因,拉尼尔指出,60天足以解决此类问题。例如,谷歌目前有60天的负责任披露规则。
6月16日,PayPal实际上向Duo Security支付了最初的漏洞奖励。
拉尼尔说:“因为我们不太了解为易贝/贝宝奖励计划设定奖励支出背后的决策过程,所以我们不完全愿意讨论迄今为止支付的金额。”
拉尼尔表示,哆安全只收到了首付款,据哆安全所知,根据漏洞奖励计划的条款,他们不需要因泄露漏洞而偿还奖励。
拉尼尔说:“对于很多供应商来说,产品安全应对并不是一门真正完美的科学;漏洞赏金/奖励计划会加剧这个问题。”“无论如何,我们最初使用PayPal时遇到的一些策略,比如无法分享案件细节,让这个过程窒息。”
他表示,PayPal延迟回复身份查询不会有所帮助。
Nayar在一份声明中表示,尽管双因素身份验证提供了额外的安全性,但这不是PayPal保护其用户的唯一方式。
Nayar表示:“我们拥有广泛的欺诈和风险检测模型,以及专门的安全团队,致力于帮助确保我们客户的账户每天都不会受到欺诈交易的影响。"
贝宝归易贝所有,该公司为其用户账户使用类似的双因素认证系统。EBay最近成为一次攻击的受害者,该攻击破坏了其用户数据库,导致该公司建议用户更改密码。然而,PayPal的双因素认证问题似乎对易贝没有太大影响。
拉尼尔说:“至少当我们试图复制这项技术时,我们在易贝短暂测试了双因素认证,但它似乎并不脆弱。