简单方法一分钟绕过 PayPal 双重验证、登录账号

据外媒报道，英国安全研究员 Henry Hoggard 发现了一种绕过 PayPal 双重身份验证（ 2FA ）机制的简单方法，允许攻击者在不到一分钟内接管 PayPal 帐户。研究者是在没有电话信号的酒店中，手机无法接收2FA验证码短信的情景下发现了这种方法。在这种情境下，用户可通过点击“尝试其他方式”链接，回答预设安全问题登录。攻击者可以运行代理服务器拦截并保存 PayPal 服务器请求，攻击者只需从 HTTP 请求中删除“ securityQuestion0 ”和“ securityQuestion1 ”参数，即可完成数据篡改并欺骗 PayPal 授予登录账号。 Hoggard 在 10 月 3 日向 PayPal 报告了这个问题，10 月 21 日 PayPal 修复该身份验证漏洞。

稿源：本站翻译整理，封面来源：百度搜索

from hackernews.cc.thanks for it.