Un fallo en PayPal permitía saltarse su autenticación en dos pasos

Iniciado por wolfbcn, 24 Octubre 2016, 02:21 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Cada vez más, las compañías de Internet –especialmente entidades bancarias- recomiendan a sus usuarios utilizar la autenticación en dos factores para aumentar la seguridad sobre sus cuentas. Este proceso, dependiente de una contraseña y también un código de un único uso, es el que permite impedir que alguien sabiendo la contraseña acceda, pues necesita también acceso físico a nuestro smartphone. Sin embargo, PayPal ha mantenido un grave fallo de seguridad que permitía saltárselo.

El sistema de autenticación en dos pasos –o dos factores-, como ya explicábamos, consiste en introducir la contraseña en un primer tiempo, y después, introducir un código de un único uso que es enviado al número de teléfono vinculado a la cuenta a través de SMS. De esta manera, en teoría, sólo alguien que sepa la contraseña y tenga acceso físico al dispositivo móvil podría acceder a la cuenta. Pero el problema de PayPal es que permitía modificar a cabecera de la petición para entrar sin introducir el código. En RedesZone explican que era tan sencillo como eliminar securityQuestion0 y securityQuestion1, y acceder sin el código único.

LEER MAS: http://www.adslzone.net/2016/10/23/un-fallo-en-paypal-permitia-saltarse-su-autenticacion-en-dos-pasos/
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.