บริษัท Duo Security Research รายงานช่องโหว่ของระบบยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ของ PayPal ทำให้แอพพลิเคชั่น PayPal บนโทรศัพท์มือถือเข้าใจว่าได้รับโค้ดยืนยันถูกต้องแล้วจนกระทั่งสามารถโอนเงินได้สำเร็จ

ปัญหาของระบบ 2-factor ของทาง PayPal คือทางบริษัทไม่ได้ยืนยันตัวตนของผู้ใช้ หรือยืนยันการสั่งโอนเงินด้วยการยืนยันด้วยปัจจัยที่สองเป็นโค้ดจาก SMS จริงๆ แต่การเปิดบริการ 2-factor ของ PayPal คือการเพิ่มข้อมูลผู้ใช้ว่าผู้ใช้คนใดต้องยืนยันตัวตนด้วยปัจจัยที่สองบ้าง จากนั้นเป็นหน้าที่ของตัวแอพพลิเคชั่นเองที่จะล็อกหน้าจอแอพพลิเคชั่นแล้วถามปัจจัยที่สองต่อไป

ทาง Duo Security ระบุว่าได้แจ้งปัญหานี้กับทาง PayPal ก่อนจะเปิดเผยช่องโหว่นี้ออกมา และทาง PayPal ก็ได้แก้ปัญหาเบื้องต้นเพื่อลดความเสี่ยงไปแล้ว และยังคงตามแก้ปัญหาต่อจนกว่าจะปิดช่องโหว่นี้ได้

ที่มา - Duo Security