eBay旗下的PayPal線上支付日前傳出安全性漏洞,PayPal目前正在搶修此漏洞,並計畫在7月28日釋出更新。同時,PayPal目前停止行動裝置的雙認證機制(Two-factor Authentication,2FA)。PayPal目前年交易金額約600億美元,使用人數達1.8億人,目前這些用戶都暫時無法使用手機雙認證。

行動安全廠商Duo Security的研究員表示,該漏洞能夠有效的繞過雙認證機制的安全層,可以從行動裝置或使用特殊設計的程式來進行攻擊。

在3月時,有一獨立研究員Dan Saltman發現一種方法可以繞過PayPal在蘋果iOS行動裝置下的雙認證機制,但事後並未得到PayPal的回應。於是在4月,Dan Saltman請Duo Security協助重現這個安全問題,並且將漏洞回報給PayPal,Duo Security的研究員確認了Dan Saltman找到的漏洞後,同時也發現在Android裝置上也有一樣的問題。

雙認證機制增加了另一層安全機制,當用戶登入時多了一個回應的步驟,以確認是用戶本人,即使有了用戶帳號和密碼,雙認證機制可以預防未授權的登入。

PayPal表示,透過PayPal漏洞懸賞計畫(PayPal Bug Bounty Program),在近期查覺到PayPal的雙認證機制在行動裝置上有潛藏的風險,不過PayPal強調,PayPal上的所有帳戶是安全的。PayPal對此漏洞也採取預防措施,目前已禁用雙認證機制的登入選項。


Advertisement

更多 iThome相關內容