Ένα θέμα ευπάθειας στη ροή ελέγχου ταυτότητας της διαδικτυακής υπηρεσίας PayPal API επιτρέπει την πρόσβαση σε έναν λογαριασμό που προστατεύεται από τον μηχανισμό ελέγχου ταυτότητας δύο παραγόντων του PayPal (2FA).
Το 2FA είναι ένα πρόσθετο μέτρο ασφάλειας που απαιτεί την εισαγωγή ενός επιπλέον κωδικού που αποστέλλεται στη διεύθυνση ηλεκτρονικού ταχυδρομείου του ιδιοκτήτη ή στο κινητό του τηλέφωνο μέσω μηνύματος κειμένου.
Η εφαρμογή της PayPal για κινητά τηλέφωνα, δεν μπορεί να χρησιμοποιηθεί αν ο λογαριασμός έχει ενεργοποιήσει την ασφάλεια δύο παραγόντων, αλλά φαίνεται ότι το αρχείο καταγραφής της διαδικασίας εξακολουθεί να διεξάγεται παρά την απουσία του συμπληρωματικού κωδικού ασφάλειας και, όταν επιστρέφει από τον server η προειδοποίηση ότι η σύνδεση προστατεύεται από πρόσθετο κωδικό, η πρόσβαση στον εν λόγω λογαριασμό δεσμεύεται.
Στο iOS, με την ενεργοποίηση της λειτουργίας πτήσης πριν επιστρέψει το σήμα 2FA από τον server και έπειτα με την εκ νέου δυνατότητα σύνδεσης της συσκευής, είναι δυνατό να αποκτηθεί πρόσβαση στον εν λόγω λογαριασμό που προστατεύεται από την ασφάλεια δύο παραγόντων.
Όταν ενημερώθηκε σχετικά με το σφάλμα η εταιρεία, πραγματοποίησε μια προσωρινή διόρθωση στο πρόβλημα.
Περισσότερα μπορείτε να δείτε εδώ.