Cada vez más, las compañías de Internet –especialmente entidades bancarias- recomiendan a sus usuarios utilizar la autenticación en dos factores para aumentar la seguridad sobre sus cuentas. Este proceso, dependiente de una contraseña y también un código de un único uso, es el que permite impedir que alguien sabiendo la contraseña acceda, pues necesita también acceso físico a nuestro smartphone. Sin embargo, PayPal ha mantenido un grave fallo de seguridad que permitía saltárselo.
El sistema de autenticación en dos pasos –o dos factores-, como ya explicábamos, consiste en introducir la contraseña en un primer tiempo, y después, introducir un código de un único uso que es enviado al número de teléfono vinculado a la cuenta a través de SMS. De esta manera, en teoría, sólo alguien que sepa la contraseña y tenga acceso físico al dispositivo móvil podría acceder a la cuenta. Pero el problema de PayPal es que permitía modificar a cabecera de la petición para entrar sin introducir el código. En RedesZone explican que era tan sencillo como eliminar securityQuestion0 y securityQuestion1, y acceder sin el código único.
LEER MAS: http://www.adslzone.net/2016/10/23/un-fallo-en-paypal-permitia-saltarse-su-autenticacion-en-dos-pasos/