{"id":7863,"date":"2014-08-05T18:05:01","date_gmt":"2014-08-05T21:05:01","guid":{"rendered":"http:\/\/www.ethicalhacker.com.br\/site\/?p=7863"},"modified":"2019-06-18T17:49:33","modified_gmt":"2019-06-18T20:49:33","slug":"autenticacao-no-paypal-e-facilmente-contornada","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2014\/08\/noticias\/autenticacao-no-paypal-e-facilmente-contornada\/","title":{"rendered":"Autentica\u00e7\u00e3o no PayPal \u00e9 facilmente contornada"},"content":{"rendered":"
Depois ter avisado a empresa, jovem australiano mostra como o sistema de seguran\u00e7a, baseado em dois fatores, \u00e9 falho.<\/div>\n
\n
<\/div>\n

Um recurso de seguran\u00e7a disponibilizado pela PayPal para ajudar a prevenir o sequestro de contas de usu\u00e1rios pode ser facilmente contornado, diz um jovem australiano, Joshua Rogers. No sistema baseado em dois fatores, os usu\u00e1rios podem optar por receber uma password de seis d\u00edgitos por SMS, para acessarem suas contas.<\/p>\n

O n\u00famero de telefone \u00e9 informado depois do fornecimento de um nome de usu\u00e1rio e uma password. Um recurso de seguran\u00e7a usado em muitos servi\u00e7os online como os da Google, sendo at\u00e9 obrigat\u00f3rio em muitos sites de servi\u00e7os financeiros para certos tipos de transa\u00e7\u00f5es (de alto risco).<\/p>\n

Joshua Rogers, de 17 anos, residente em Melbourne, descobriu uma forma de burlar a medida de seguran\u00e7a e publicou detalhes do ataque no seu blog<\/a>, esta semana.<\/p>\n

Embora tenha comunicado a falha \u00e0 empresa no in\u00edcio de Julho, a PayPal ainda n\u00e3o conseguiu corrigir a falha. Por isso, ao divulgar a informa\u00e7\u00e3o, Rogers perder\u00e1 uma recompensa, normalmente paga pelo PayPal para pesquisadores de seguran\u00e7a, mediante sigilo at\u00e9 que a\u00a0 vulnerabilidade de software descoberta seja corrigida. O jovem estima que a recompensa poder\u00e1 chegar aos tr\u00eas mil euros, embora a PayPal n\u00e3o tenha infromado o valor.<\/p>\n

\u201cN\u00e3o me importo com o dinheiro, n\u00e3o\u201d, diz Rogers. \u201cO dinheiro n\u00e3o \u00e9 tudo neste mundo.\u201d<\/p>\n

O ataque exige que o hacker conhe\u00e7a os dados de autentica\u00e7\u00e3o de uma pessoa no eBay e no PayPal, mas v\u00e1rios malware s\u00e3o capazes de obter facilmente esses detalhes a partir de computadores comprometidos.<\/p>\n

Uma p\u00e1gina no eBay que permite aos usu\u00e1rios vincularem a sua conta de eBay \u00e0 do PayPal cria um \u201ccookie\u201d, para que a aplica\u00e7\u00e3o de PayPal possa detectar a presen\u00e7a do usu\u00e1rior, mesmo se um c\u00f3digo de seis d\u00edgitos n\u00e3o for introduzido, explica Rogers no seu blog.<\/p>\n

Especificamente a falha est\u00e1 na fun\u00e7\u00e3o \u201c= _integrated-registration\u201d, diz, que n\u00e3o verifica se a potencial v\u00edtima tem autentica\u00e7\u00e3o de dois fatores ativada. Um intruso poder\u00e1 repetidamente ter acesso \u00e0 conta do PayPal, ligando e desligando as contas de eBay e PayPal, de uma pessoa. Rogers mostra o ataque no YouTube.<\/p>\n

O jovem j\u00e1 tem hist\u00f3rico na descoberta de problemas em servi\u00e7os online. Em Julho, foi advertido pela pol\u00edcia, depois de um acordo com a mesma para n\u00e3o ser judicialmente acusado ap\u00f3s ter descoberto uma vulnerabilidade no site de uma das autoridades de transporte p\u00fablico da Austr\u00e1lia, no ano passado.<\/p>\n

Fonte: http:\/\/idgnow.com.br\/internet\/2014\/08\/05\/autenticacao-no-paypal-e-facilmente-contornada\/<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Depois ter avisado a empresa, jovem australiano mostra como o sistema de seguran\u00e7a, baseado em dois fatores, \u00e9 falho. Um recurso de seguran\u00e7a disponibilizado pela PayPal para ajudar a prevenir o sequestro de contas de usu\u00e1rios pode ser facilmente contornado, diz um jovem australiano, Joshua Rogers. No sistema baseado em dois fatores, os usu\u00e1rios podem […]<\/p>\n","protected":false},"author":2,"featured_media":7864,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[105],"tags":[],"class_list":["post-7863","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7863","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=7863"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7863\/revisions"}],"predecessor-version":[{"id":10372,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/7863\/revisions\/10372"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/7864"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=7863"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=7863"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=7863"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}