PayPal已修复一个允许攻击者绕过登录进程的双因素验证漏洞。
安全研究员Shawar Khan发现问题出在“PayPal预览”门户中,不过这个利用需要访问受害者的浏览器。
PayPal公告中公布的流程如下:
* 在新标签中打开PayPal英国登录门户(保持打开状态)
* 在另外一个标签中打开PayPal预览登录门户
* 在第二个步骤中打开的URL中登录到自己的账户
* 在出现的新窗口中输入凭证
* 刷新在步骤一中打开的页面
* 登录之后,点击预览账户按钮,进入账户,双因素验证流程就被绕过了
也就是说,如果用户通过预览门户登录账户并且在保持浏览器打开的情况下,攻击者就能够绕过双因素验证流程。
当前公告中给出的“预览门户”链接已无响应。