9. maaliskuuta 2020

Lapsellinen tietoturva-aukko PayPal -palvelussa

PayPal on kätevä  tapa maksaa verkossa, mutta vaikuttaa, että joissain tapauksissa sen tietoturva on lapsellisella tasolla. PayPal ei esimerkiksi tue vahvoja 2-vaiheisen tunnistautumisen keinoja, kuten U2F tai Fido2 lainkaan, mutta mahdollistaa sentään TOTP-pohjaisen 2-vaiheisenkin kirjautumisen lisätietoturvaa tuomaan. Nyt löysin kuitenkin ko. palvelun ja Google Play / Google Pay palvelun integroinnista lapsellisen tietoturvamokan, joka mahdollistaa kenen tahansa PayPal tilin väärinkäytön paljon helpommin, kuin mitä pitäisi ikinä olla mahdollista.

Väärinkäyttö toimii varsin helposti: Mene Google Play palveluun sisälle ja maksutapoihin. Valitse maksutavoista "liitä PayPal tili" ja kirjoittamalla vain PayPal tilin sähköpostiosoitteen ja siihen liitetyn puhelinnumeron (jotka kumpikin on helppo tietää tai arvata), saat ko. puhelinnumeroon tekstiviestillä (turvaton) vahvistuksen liittämisestä. Se on siinä. Voit tämän jälkeen ostaa ko. PayPal tilille mitä tahansa Google Playn kautta ilman mitään sen enempiä vahvistamisia tai varmistuksia.

Toisin sanoen, PayPal ei missään vaiheessa kyse ko. PayPal tilin salasanaa eikä 2-vaiheisen varmistamisen tunnuksia, vaan mahdollistaa uhrin PayPal-tilin liittämisen ja maksut ko. tililtä pelkät julkiset tiedot tietämällä ja yhden sms-viestin nappaamalla.

Huomautetaan nyt, että aina maksaessasi verkossa PayPalilla, sinun pitää kirjautua PayPal -palveluun PayPalin salasanaa ja 2-vaihesen tunnistautumisen tunnuksia käyttäen. Mutta Google Playssa maksaessasi mitään tämmöistä varmistusta ei vaadita edes yhtä ainoaa kertaa!

Kyse on vakavasta ja mahdollisesti jo väärinkäytetystä tietoturva-aukosta PayPalin palveluissa. Olen ottanut asiasta yhteyttä PayPaliin ja katsotaan mitä vastaavat, vaiko vastaavatko mitään. Alla lähettämäni viesti.




PS. Havaitsin tässä vähän aikaa sitten lapsellisen tietoturva-aukon Googlen palveluissa, jotka mahdollistivat ko. palvelun 2-vaiheisen tunnistamisen ja "tehostetun suojauksenkin" ohittamisen yksinkertaisesti. Google sulki ko. aukon kaikessa hiljaisuudessa edes ilmoittamatta siitä minulle mitään, puhumattakaan löytypalkkiosta tms. joten en tämän tietoturva-aukon osalta edes ole yhteydessä Googleen, vaan ainoastaan PayPaliin.



EDIT 9.3.2020 klo 18:50
Googlella ja PayPallilla on ilmeisesti ollut tietoturvaongelmia, mutta mitä ne tarkkaan ottaen ovat olleet, sitä ei ole kerrottu. Tämän seurauksena Googlen piti poistaa PayPalin käyttömahdollisuus, mutta ainakin minulla se toimii yhä. Todella hämärää. Liittyykö löytöni mitenkään tähän vaiko ei ja miksi PayPal toimii Google Playssä vaikka sen ei pitäisi toimia?!?

Ei kommentteja:

Lähetä kommentti