Australijski tester bezpieczeństwa Joshua Rogers informuje, że znalazł sposób na infiltrowanie konta PayPal mimo dwuelementowego zabezpieczenia uwierzytelniania, podaje PC World. Podczas łączenia konta PayPal z kontem na serwisie eBay, użytkownicy są proszeni o zalogowanie się przy użyciu swoich danych i przekierowani do strony potwierdzającej tożsamość. Dzięki plikom cookies przechowywane są dane rejestracyjne, w wypadku gdy użytkownik przeładuje stronę www.paypal.com
przed ponownym zalogowaniem, pozostanie zalogowany w serwisie bez potrzeby ponownego wpisywania danych oraz potwierdzenia kodu bezpieczeństwa potrzebnego do zweryfikowania tożsamości.
– 5 czerwca 2014 roku znalazłem pełne obejście serwisu Paypal 2FA, dzięki któremu każdy jest w stanie uzyskać dostęp do konta Paypal, które posiada konfigurację 2FA, jedynie poprzez zalogowanie się przez 'specjalną’ stronę Paypal, tester poinformował na swoim blogu.
Tester postanowił upublicznić te informacje, gdy nie otrzymał odpowiedzi, po zaalarmowaniu PayPal o problemie uwierzytelniania