Duo Security的一份新報(bào)告顯示，PayPal的雙因素認(rèn)證技術(shù)可以繞過(guò)，在線支付公司(不反對(duì)調(diào)查結(jié)果)正在對(duì)其移動(dòng)用戶禁用雙因素認(rèn)證。雙因素身份驗(yàn)證是一種廣泛推薦的方法，旨在為用戶帳戶訪問(wèn)提供額外的安全層。除了靜態(tài)密碼之外，雙因素身份驗(yàn)證還要求用戶隨機(jī)生成第二個(gè)密碼(或因素)，以便訪問(wèn)站點(diǎn)或服務(wù)。在貝寶的例子中，這個(gè)機(jī)制被顛覆了。

Duo Security本身并沒有發(fā)現(xiàn)PayPal的雙因素認(rèn)證被繞過(guò)。研究人員丹索爾特曼在3月28日發(fā)現(xiàn)了繞行問(wèn)題，并將其報(bào)告給了PayPal的漏洞獎(jiǎng)勵(lì)計(jì)劃。4月22日，Saltman在沒有收到PayPal的狀態(tài)更新后聯(lián)系了Duo Security。Duo Security高級(jí)安全研究員Zach Lanier向eWEEK解釋說(shuō)，Saltman是Duo Security CEO Dag Song的朋友。

拉尼爾說(shuō)：“雙因素認(rèn)證已經(jīng)并仍在PayPal的Web屬性中全面實(shí)施(例如，www.paypal.com)?！薄斑@是身份驗(yàn)證過(guò)程中的一個(gè)缺陷，因?yàn)樗capi.paypal.com及其向mobileclient.paypal.com的擴(kuò)展有關(guān)?！?

鑒于今日Duo Security的披露，PayPal已就其Web和移動(dòng)客戶端上雙因素身份驗(yàn)證支持的當(dāng)前狀態(tài)發(fā)布聲明。

PayPal全球計(jì)劃高級(jí)總監(jiān)Anuj Nayar表示：“作為預(yù)防措施，我們已經(jīng)禁止選擇雙因素身份驗(yàn)證的客戶在PayPal移動(dòng)應(yīng)用程序和其他一些移動(dòng)應(yīng)用程序上登錄其PayPal帳戶?！斑@些客戶仍然可以通過(guò)訪問(wèn)PayPal移動(dòng)網(wǎng)站，在移動(dòng)設(shè)備上登錄他們的PayPal帳戶。”

雖然Saltman在3月28日首次向PayPal報(bào)告了這個(gè)問(wèn)題，但拉尼爾指出，向PayPal報(bào)告這個(gè)問(wèn)題不一定是第一次，也不一定是唯一一次。他說(shuō)，這個(gè)問(wèn)題從來(lái)沒有公開討論或披露過(guò)，所以有可能之前已經(jīng)報(bào)道過(guò)。

拉尼爾說(shuō)：“當(dāng)反思PayPal似乎對(duì)其API和移動(dòng)應(yīng)用程序所做的一些改變和大修時(shí)，尤其是在身份驗(yàn)證過(guò)程中，這一缺陷很可能是在2010年或2012年引入的?！彼a(bǔ)充說(shuō)，尚不清楚該漏洞是否被惡意攻擊者殘忍利用。

披露程序

根據(jù)拉尼爾與PayPal漏洞獎(jiǎng)勵(lì)計(jì)劃的溝通時(shí)間，Duo Security于6月9日通知PayPal，并計(jì)劃于6月25日公開披露此問(wèn)題。6月19日，PayPal向Duo Security發(fā)出請(qǐng)求，要求延遲公開披露，并指出PayPal的目標(biāo)修復(fù)日期為7月28日。

對(duì)于哆安全未能遵守PayPal延遲披露要求的原因，拉尼爾指出，60天足以解決此類問(wèn)題。例如，谷歌目前有60天的負(fù)責(zé)任披露規(guī)則。

6月16日，PayPal實(shí)際上向Duo Security支付了最初的漏洞獎(jiǎng)勵(lì)。

拉尼爾說(shuō)：“因?yàn)槲覀儾惶私鉃橐棕?貝寶獎(jiǎng)勵(lì)計(jì)劃設(shè)定獎(jiǎng)勵(lì)支出背后的決策過(guò)程，所以我們不完全愿意討論迄今為止支付的金額?！?

拉尼爾表示，哆安全只收到了首付款，據(jù)哆安全所知，根據(jù)漏洞獎(jiǎng)勵(lì)計(jì)劃的條款，他們不需要因泄露漏洞而償還獎(jiǎng)勵(lì)。

拉尼爾說(shuō)：“對(duì)于很多供應(yīng)商來(lái)說(shuō)，產(chǎn)品安全應(yīng)對(duì)并不是一門真正完美的科學(xué)；漏洞賞金/獎(jiǎng)勵(lì)計(jì)劃會(huì)加劇這個(gè)問(wèn)題?！薄盁o(wú)論如何，我們最初使用PayPal時(shí)遇到的一些策略，比如無(wú)法分享案件細(xì)節(jié)，讓這個(gè)過(guò)程窒息?！?

他表示，PayPal延遲回復(fù)身份查詢不會(huì)有所幫助。

Nayar在一份聲明中表示，盡管雙因素身份驗(yàn)證提供了額外的安全性，但這不是PayPal保護(hù)其用戶的唯一方式。

Nayar表示：“我們擁有廣泛的欺詐和風(fēng)險(xiǎn)檢測(cè)模型，以及專門的安全團(tuán)隊(duì)，致力于幫助確保我們客戶的賬戶每天都不會(huì)受到欺詐交易的影響。"

貝寶歸易貝所有，該公司為其用戶賬戶使用類似的雙因素認(rèn)證系統(tǒng)。EBay最近成為一次攻擊的受害者，該攻擊破壞了其用戶數(shù)據(jù)庫(kù)，導(dǎo)致該公司建議用戶更改密碼。然而，PayPal的雙因素認(rèn)證問(wèn)題似乎對(duì)易貝沒有太大影響。

拉尼爾說(shuō)：“至少當(dāng)我們?cè)噲D復(fù)制這項(xiàng)技術(shù)時(shí)，我們?cè)谝棕惗虝簻y(cè)試了雙因素認(rèn)證，但它似乎并不脆弱。