Phew! Paypal corrige vulnerabilidad en su autenticación en dos factores

No me canso de repetir que podemos pensar que por hacerlo todo bien estamos a salvo para siempre. Paypal acaba de corregir fallo que permitía vulnerar su sistema de autenticación en dos factores (2FA). Además, ha premiado a su descubridor con una importante suma de dinero, por hacerles el trabajo.

El descubridor de tamaña vulnerabilidad es Henry Hoggard y ha publicado en su blog todos los detalles de su trabajo, mostrando como PayPal había cometido un importante fallo al implementar su tecnología de verificación en dos factores (2FA):

Hace poco, me encontraba en un hotel y necesitaba realizar un pago, como no había señal telefónica no me era posible disponer de mi Token de autenticación para doble factor desde PayPal. Menos mal que sólo me llevó 5 minutos vulnerar el sistema 2FA de la empresa.

Autenticación en dos factores con un fallo importante

Solo sugerir que un sistema de autenticación en dos pasos o factores contiene fallos ya debería preocuparnos, así que veamos cómo fué posible tal cosa. Todo empieza por la pregunta de seguridad.

Aunque no parece tener mucho que ver, lo cierto es que si no tenemos nuestro móvil a mano para recibir nuestro código 2FA, PayPal nos dará la opción de responder nuestra pregunta de seguridad en su lugar. Continuad leyendo y veréis por qué el NIST tiene razón cuando aconseja eliminar este tipo de preguntas de seguridad.

El caso es que Hoggard descubrió que capturando el tráfico POST enviado por su navegador, para eliminar los campos «securityQuestion0» y «SecurityQuestion1» podría engañar a PayPal para hacerle creer que se había realizado la verificación de su acceso a la cuenta (siguiente imagen).

PayPal ya ha corregido la vulnerabilidad

Fué a comienzos de este mes de Octubre cuando Hoggard informó a la empresa del gran error en la verificación en dos pasos de PayPal. La compañía ha solucionado el fallo desde entonces y ha ofrecido una suma de dinero como recompensa al experto.

Cabe mencionar que los atacantes no habrían podido explotar el fallo sin haber conocido antes una contraseña del usuario. Pero también debemos recordar que demasiados usuarios escogen contraseñas débiles o las repiten en muchos sitios web. Es decir, esto podría haber sido fatal de no haberse detectado a tiempo.

Es genial que las web ofrezcan este tipo de seguridad multifactor -ya sea 2SV o 2FA- ya que dificulta mucho la tarea de quienes quieren acceder ilegalemente a nuestra cuenta, pero deberían pararse de vez en cuando a auditar su sistema y dedicar los recursos apropiados (algo que parece que no hacen muy a menudo).

En fin, ahora que ya está todo en orden no puedo sino recordarte que aquí verás como proteger tu cuenta de PayPal con doble factor de autenticación 😉

Fuente: Graham Cluley