由網上交易平台 eBay 推出的付款平台 PayPal,近日被揭發出現一項有關雙重認證機制的嚴重漏洞,用戶在 PayPal 堵塞此漏洞前應停止使用透過手機進行的雙重認證機制。
iOS 及 Android 平台均無可幸免
名為 Dan Saltman 的獨立研究員,於本年 3 月發現一個可供黑客繞過 PayPal 在 Apple iOS 裝置下的雙重認證機制 (Two-factor Authentication,2FA),雖然他隨後向 PayPal 回報此問題,但當時並未得到 PayPal 的回應。
流動裝置安全服務供應商 Duo Security 的研究人員,則於四月邀請 Saltman 協助他們重現此漏洞,他們亦同時亦發現此漏洞亦會出現於 Android 上。Duo Security 研究人員在證實漏洞的真確性後,就以其公司名義將漏洞回報予 PayPal。
PayPal 隨後表示,最近透過其漏洞懸賞計畫 (PayPal Bug Bounty Program) ,發現他們的雙重認證機制在流動裝置上有潛在風險。但 PayPal 強調,儲存在 PayPal 上的所有帳戶與資料都是安全的。
而 PayPal 亦隨即對此漏洞採取保障措施,而 PayPal 的雙重認證機制目前已被禁用,用戶毋須自行調整設定。但仍建議用戶在 PayPal 堵塞此漏洞前,應停止使用透過手機進行的雙重認證機制。
Source:Fox Business
