Investigador dice que es fácil burlar la autenticación en dos pasos de PayPal

Un investigador de seguridad australiano, llamado Joshua Rogers, ha destapado que la autenticación en dos pasos de PayPal se puede saltar con facilidad.

Los usuarios de PayPal puede elegir recibir un código de seis dígitos vía mensaje de texto para acceder a sus cuentas. Este código es enviado después de introducir su nombre de usuario y su contraseña. La autenticación a dos pasos es utilizada por Google y otros servicios como los bancos en operaraciones de alto riesgo.

Para efectuar el ataque se requiere conocer  los datos de una persona que tenga cuenta en eBay y PayPal. La culpa la tiene una página de eBay que permite a los usuarios enlazar sus cuentas de eBay con las de PayPal, servicio perteneciente al propio eBay. Cuando se enlazan las cuentas se crea una cookie que hace que la aplicación de PayPal piense que la persona ha iniciado sesión, incluso sin introducir el código de seis dígitos mencionado anteriormente.

El investigador ha publicado en su blog cómo ha roto roto la autenticación en dos pasos de PayPal para que así el servicio de pago pueda corregirlo cuanto antes, y es que no hay creación humana que esté libre de errores.