A ESET lançou um alerta devido aos problemas de segurança verificados no “banco virtual” Paypal.
A ler com atenção:
De acordo com uma investigação efectuada pela empresa de segurança Duo Security, uma falha na autenticação de dois factores do PayPal poderá permitir que os invasores tenham acesso a143 milhões de contas.
O gigante dos pagamentos online apressou-se a dizer aos utilizadores que não estão em risco, através da disponibilização de um comunicado oficial.
O sistema de autenticação de dois factores do Paypal é realmente seguro?
De acordo com o relatório do Financial Times a vulnerabilidade afectava os utilizadores que se ligavam através do PayPal via dispositivos Android ou iOS, sendo que os atacantes teriam de saber o nome de utilizador e palavra-passe da vítima.
“É uma funcionalidade de segurança desenvolvida para reduzir os problemas caso uma palavra-passe seja comprometida por algum motivo. Se esta função não é particularmente segura, não está a cumprir a sua promessa”, afirmou Zach Lanier da Duo Security, que reforçou a ideia de que os utilizadores do PayPal são cada vez alvos mais apetecíveis para os ataques de Phishing.
“Porque roubaria um banco?”
“Eles funcionam como um banco neste momento, uma vez que muitos fundos estão nas contas do PayPal e podem ser transferidos directamente para uma conta bancária”, afirma Lanier. “Porque roubaria um banco? Porque é onde todo o dinheiro está”.
O site The Register afirma que as aplicações podiam ser enganadas e ignorarem a protecção de dois factores nas contas dos utilizadores. Normalmente, as aplicações iriam impedir que os utilizadores se ligassem, mas a prova de conceito de Lanier, baseada num script em Python, permitia hipoteticamente a um utilizar contornar esta protecção. Não existem provas que isto tenha ocorrido até ao momento.
“O atacante apenas necessitava do nome de utilizador e da palavra-passe para aceder a uma conta protegida pelo sistema de autenticação de dois factores e enviar dinheiro”, afirma Lanier.
Sistema 2FA do PayPal desactivado
O PayPal afirmou com celeridade que a este bug afectava apenas os utilizadores que utilizassem o mecanismo opcional de autenticação de dois factores e se tentassem ligar à conta através de aplicações para iPhone ou Android. De qualquer modo, esta empresa desactivou esta forma de login para as aplicações móveis, sendo que sairão mais tarde correcções.
