Она позволяет имеющему доступ к учетной записи пользователя переводить деньги без дополнительного защитного кода.

Двухступенчатая система аутентификации (2FA) PayPal подразумевает ввод дополнительного кода безопасности уже после ввода логина и пароля. Специалисты компании Duo Security обнаружили в ней уязвимость, из-за которой риску стать жертвами хакеров подвергаются 143 млн активных пользователей PayPal.


Двухступенчатая аутентификация была введена PayPal в 2006 году. По мнению эксперта Duo Secutiry Зака Ланье, уязвимость в ней возникла пару лет назад, когда компания открыла API для независимых разработчиков.


Один из пользователей платежной системы обнаружил проблему с безопасностью в iOS приложении PayPal еще в марте. Он получил доступ к своей учетной записи, минуя двойную аутентификацию, просто включив авиарежим на своем смартфоне сразу после ввода пароля.


Экспертам Duo Security удалось повторить баг и обнаружить, что он также есть в Android-приложении. Они смогли выявить конкретную проблему с API и сообщили о ней PayPal через специальную программу исправления багов.


В своем блоге PayPal утверждает, что «все аккаунты остаются в безопасности», добавляя, что уязвимость касается только двухступенчатой аутентификации на мобильных устройствах и что в качестве меры предосторожности возможность входа в аккаунт по такой схеме через мобильное приложение отключена.