Cuidado: Usuários do PayPal sob o Risco de uma Invasão de Login
Problemas de segurança recentes no PayPal têm afetado a plataforma. Um relatório recente da equipe de pesquisa da CyberNews mencionou uma lista de problemas de segurança que foram descobertos durante a investigação. As vulnerabilidades em questão incluem alguns casos interessantes e cruciais em que eles conseguiram superar a segurança. No entanto, esse não foi o primeiro problema no PayPal detectado por pesquisadores de segurança, como foi o caso quando uma vulnerabilidade de alta gravidade foi detectada no início de 2019. Ele era capaz de expor senhas a invasores. A falha foi encontrada pelo pesquisador Alex Birsan, que recebeu uma recompensa de US $15.300 por relatar o problema, posteriormente corrigido em 11 de dezembro de 2019. Agora a equipe do CyberNews conseguiu descobrir que todo o processo pode ser contornado, tornando-o possível para invasores experientes para acessar uma conta com nada mais do que credenciais roubadas, adquiridas por meio de engenharia social ou por meio de mercados da Dark Web.
Contornar o método de autenticação de dois fatores (2FA) que o PayPal emprega foi a primeira vulnerabilidade abordada pela CyberNews, no PayPal para Android versão 7.16.1. Sua equipe foi capaz de contornar a verificação de telefone ou e-mail utilizando o aplicativo móvel PayPal e um proxy MITM. Isso permitiu que eles obtivessem acesso com um token elevado, supostamente levando apenas alguns minutos ou mesmo segundos.
Os analistas da CyberNews afirmam também ter encontrado mais vulnerabilidades, especificamente a capacidade de fazer uma verificação de telefone sem usar um OTP (One Time Pin). O sistema funciona comparando se um número de telefone registrado está registrado com o mesmo nome do titular da conta no banco de dados do PayPal. Caso contrário, o número de telefone será rejeitado pelo sistema. A equipa relata que conseguiu alterar o número da chamada de saída a bordo para outro diferente, que registou o número de telefone no sistema como "confirmado".
A falta de comunicação entre o Paypal e a equipe da CyberNews levou a mais mal-entendidos, pois a CyberNews explicou o problema como um problema com o sistema de autenticação de dois fatores. Da forma como está, 2FA é uma verificação de identidade secundária feita no final de cada tentativa de login, significando uma confirmação controlada pelo usuário, uma etapa extra de segurança além da combinação de nome de usuário e senha. Na maioria dos casos, isso é feito por meio de um código SMS de uso único, mas também pode ser um número PIN completamente separado da senha, uma chave de segurança externa e também a escolha popular de um aplicativo autenticador. Histórias de hackers 2FA têm circulado na Internet mais ou menos desde que o sistema se tornou comum, com exemplos mais recentes vistos com hackers de alto perfil de contas de mídia social de celebridades e até mesmo o aviso do FBI de 2019 de que a autenticação secundária estava sendo falsificada por invasores, apenas com dados biométricos sendo supostamente à prova de intrusão.
Embora o PayPal tenha um sistema 2FA instalado, como muitos outros sites, ele impede o acesso a uma conta sem o celular do usuário ou o aplicativo autenticador emparelhado. A escolha das palavras empregadas pela CyberNews gerou mal-entendidos entre a equipe do PayPal e a equipe do HackerOne. Isso tornou difícil para a CyberNews sublinhar ainda mais a importância dos problemas que eles acreditam que precisam ser corrigidos e divulgados. De acordo com um porta-voz do PayPal, sem exemplos de contas afetadas por esse tipo de vulnerabilidade, não há razão para acreditar que os riscos não podem ser gerenciados pelo sistema PayPal.
No momento, ignorar totalmente o 2FA significa ser capaz de sequestrar o dispositivo móvel da vítima de alguma forma ou ser capaz de interceptar um dos códigos únicos que a vítima está prestes a usar em seu sistema antes que ele chegue. Embora haja uma chance de um determinado invasor obter acesso remoto à máquina que ele almeja, isso requer um ataque em tempo real. As credenciais são roubadas regularmente em todo o mundo, portanto, a troca frequente de senhas é necessária para manter a senha exclusiva desse aplicativo.