1.媒體來源:
iThome
2.完整新聞標題/內文:
PayPal雙認證機制驚報漏洞,緊急停用手機雙認證
eBay旗下的PayPal線上支付日前傳出安全性漏洞,PayPal目前正在搶修此漏洞,並計畫在
7月28日釋出更新。同時,PayPal目前停止行動裝置的雙認證機制(Two-factor
Authentication,2FA)。PayPal目前年交易金額約600億美元,使用人數達1.8億人,目
前這些用戶都暫時無法使用手機雙認證。
行動安全廠商Duo Security的研究員表示,該漏洞能夠有效的繞過雙認證機制的安全層,
可以從行動裝置或使用特殊設計的程式來進行攻擊。
在3月時,有一獨立研究員Dan Saltman發現一種方法可以繞過PayPal在蘋果iOS行動裝置
下的雙認證機制,但事後並未得到PayPal的回應。於是在4月,Dan Saltman請Duo
Security協助重現這個安全問題,並且將漏洞回報給PayPal,Duo Security的研究員確認
了Dan Saltman找到的漏洞後,同時也發現在Android裝置上也有一樣的問題。
雙認證機制增加了另一層安全機制,當用戶登入時多了一個回應的步驟,以確認是用戶本
人,即使有了用戶帳號和密碼,雙認證機制可以預防未授權的登入。
PayPal表示,透過PayPal漏洞懸賞計畫(PayPal Bug Bounty Program),在近期查覺到
PayPal的雙認證機制在行動裝置上有潛藏的風險,不過PayPal強調,PayPal上的所有帳戶
是安全的。PayPal對此漏洞也採取預防措施,目前已禁用雙認證機制的登入選項。
3.新聞連結:
http://www.ithome.com.tw/news/88989
4.備註:
(一個人一天只能張貼一則新聞,"被刪"或"自刪"也算額度內,超貼者劣文"請注意")