Grave vulnerabilità nella feature 2FA di PayPal

Molti siti web richiedono l’attivazione di una funzionalità di sicurezza, denominata autenticazione in due passi o fattori (two-factor authentication, 2FA), oltre all’inserimento di nome utente e password. L’utente riceverà un codice, via SMS o app mobile, da digitare prima di poter completare l’accesso. Un ricercatore di sicurezza australiano ha scoperto una grave vulnerabilità nella feature implementata da PayPal che potrebbe essere sfruttata per effettuare il login senza inserire questo codice.

Joshua Rogers, un 17enne di Melbourne, ha segnalato il bug all’azienda statunitense due mesi fa, ma il problema non è stato ancora risolto. Rogers ha quindi deciso di rendere pubblica la vulnerabilità, rinunciando così al premio di 3.000 dollari che PayPal assegna ai ricercatori che non divulgano i dettagli prima del rilascio della patch. L’attacco richiede la conoscenza delle credenziali di eBay e PayPal, ma esistono diverse tecniche per rubare queste informazioni da un computer infetto. In alcuni casi, è sufficiente il phishing o un po’ di ingegneria sociale.

La falla risiede nella pagina di eBay che permette agli utenti di collegare l’account di eBay all’account di PayPal. Il linking degli account crea un cookie che consente di eseguire il login, eludendo l’autenticazione in due passi. La funzione “integrated-registration“, contenuta nell’indirizzo della pagina di redirect, non controlla se la 2FA è stata attivata. Il processo può essere ripetuto un’infinità di volte, anche se gli account vengono nuovamente separati.

La funzionalità può essere “scavalcata” in altri modi. Se l’utente non può ricevere il codice a sei cifre, può saltare la verifica di sicurezza supplementare e inserire le risposte ad alcune domande, abbastanza facili da scoprire quando il computer è già sotto il controllo di un malintenzionato. PayPal non ha comunicato se e quando risolverà il bug.

All’inizio di luglio, Rogers ha scoperto una vulnerabilità nel sito dell’autorità che gestisce il trasporto pubblico nello Stato di Victoria (PTV). Una falla di sicurezza nel database ha permesso di accedere a 600.000 record contenenti nomi, email, indirizzi, numeri di carte di credito e altre informazioni degli utenti. Rogers ha quindi contattato PTV, senza ricevere risposta. Cinque mesi dopo ha ricevuto la visita di sei agenti di polizia che hanno sequestrato 10 dispositivi. Per evitare il carcere, Rogers ha dovuto pagare una cauzione.