Duo Security的一份新报告显示,可以绕过PayPal的两因素身份验证技术,并且在线支付公司(不反对调查结果)正在为其移动用户禁用两因素身份验证。两因素身份验证是一种广泛推荐的方法,旨在为用户帐户访问提供额外的安全层。除了静态密码外,两因素身份验证还要求用户具有随机生成的第二个密码(或因素),以便获得对站点或服务的访问权限。在贝宝的情况下,该机制被颠覆了。
Duo Security本身并未发现PayPal的两因素身份验证绕过。研究人员Dan Saltman在3月28日发现了绕行问题,并将其报告给PayPal的漏洞赏金计划。在没有收到PayPal的状态更新后,Saltman于4月22日与Duo Security联系。Duo Security的高级安全研究员Zach Lanier向eWEEK解释说Saltman是Duo Security首席执行官Dug Song的朋友。
Lanier说:“两因素身份验证曾经而且现在仍在PayPal的Web属性(例如,www.paypal.com)中全面实施。” “这是身份验证流程中的一个缺陷,因为它与api.paypal.com以及扩展到mobileclient.paypal.com有关。”
鉴于今天的Duo Security披露,PayPal 在其Web和移动客户端上发布了有关两因素身份验证支持的当前状态的声明。
“为预防起见,我们已禁止选择两因素身份验证的客户在PayPal移动应用程序和某些其他移动应用程序上登录其PayPal帐户,” PayPal全球计划高级总监Anuj Nayar说道,说。“这些客户仍然可以通过访问PayPal移动网站在移动设备上登录其PayPal帐户。”
尽管Saltman于3月28日首次向PayPal报告了此问题,但Lanier指出,不一定是第一次或唯一一次将问题报告给PayPal。他说,从未对此问题进行任何公开讨论或披露,因此有可能以前曾有过报道。
Lanier说:“在反思PayPal似乎对其API和移动应用程序进行的某些更改和大修时,特别是在身份验证过程方面,此缺陷很可能已在2010年或2012年引入。” 他补充说,还不清楚该漏洞是否曾经被恶意攻击者野蛮利用。
披露程序
Lanier与PayPal的漏洞赏金计划的通讯时间表明,Duo Security于6月9日通知PayPal,打算在6月25日公开披露此问题。6月19日,PayPal向Duo Security发送了一个请求,要求延迟公开披露,并指出PayPal的目标修复日期为7月28日。
关于Duo Security为什么不遵守PayPal延迟披露的要求的原因,Lanier指出,60天的时间足以解决此类问题。例如,谷歌目前有60天的负责任披露规则。
PayPal实际上也在6月16日向Duo Security支付了最初的漏洞赏金。
拉尼尔说:“由于我们不十分了解为eBay / PayPal赏金计划设定赏金支出背后的决策程序,因此我们不完全愿意讨论目前已支付的金额。”
Lanier表示,Duo Security仅获得了初次付款,据Duo Security所知,按照漏洞赏金计划的条款,由于披露漏洞,他们无需偿还赏金。
Lanier说:“对许多供应商而言,产品安全响应并不是一门真正的完美科学;漏洞赏金/奖励计划会加剧这一问题。” “无论如何,我们最初在使用PayPal时遇到的一些策略,例如无法共享案例详细信息,都使流程变得窒息。”
他说,贝宝(PayPal)延迟回应身份查询也无济于事。
纳亚尔在一份声明中说,尽管两因素身份验证提供了额外的安全性,但这并不是PayPal保护其用户安全的唯一方法。
纳亚尔说:“我们拥有广泛的欺诈和风险检测模型,以及专门的安全团队,致力于帮助确保我们的客户的帐户每天免受欺诈交易的影响。”
PayPal由eBay拥有,该公司对其用户帐户使用类似的两因素身份验证系统。eBay 最近是一次攻击的受害者,该攻击破坏了其用户数据库,这导致该公司建议用户更改密码。但是,贝宝(PayPal)两因素身份验证问题似乎并未对eBay产生明显影响。
拉尼尔说:“我们至少在尝试复制这项技术时,在eBay上简短地测试了两因素身份验证,但是它似乎并不容易受到攻击。