1.媒体来源:
iThome
2.完整新闻标题/内文:
PayPal双认证机制惊报漏洞,紧急停用手机双认证
eBay旗下的PayPal线上支付日前传出安全性漏洞,PayPal目前正在抢修此漏洞,并计画在
7月28日释出更新。同时,PayPal目前停止行动装置的双认证机制(Two-factor
Authentication,2FA)。PayPal目前年交易金额约600亿美元,使用人数达1.8亿人,目
前这些用户都暂时无法使用手机双认证。
行动安全厂商Duo Security的研究员表示,该漏洞能够有效的绕过双认证机制的安全层,
可以从行动装置或使用特殊设计的程式来进行攻击。
在3月时,有一独立研究员Dan Saltman发现一种方法可以绕过PayPal在苹果iOS行动装置
下的双认证机制,但事后并未得到PayPal的回应。于是在4月,Dan Saltman请Duo
Security协助重现这个安全问题,并且将漏洞回报给PayPal,Duo Security的研究员确认
了Dan Saltman找到的漏洞后,同时也发现在Android装置上也有一样的问题。
双认证机制增加了另一层安全机制,当用户登入时多了一个回应的步骤,以确认是用户本
人,即使有了用户帐号和密码,双认证机制可以预防未授权的登入。
PayPal表示,透过PayPal漏洞悬赏计画(PayPal Bug Bounty Program),在近期查觉到
PayPal的双认证机制在行动装置上有潜藏的风险,不过PayPal强调,PayPal上的所有帐户
是安全的。PayPal对此漏洞也采取预防措施,目前已禁用双认证机制的登入选项。
3.新闻连结:
http://www.ithome.com.tw/news/88989
4.备注:
(一个人一天只能张贴一则新闻,"被删"或"自删"也算额度内,超贴者劣文"请注意")