ทีมนักวิจัยจาก CyberNews รายงานว่า พบช่องโหว่ร้ายแรงที่เกี่ยวข้องกับระบบ 2FA Authentication และระบบยืนยันตัวตนทั่วไปของเว็บไซต์ Paypal ซึ่งจะอนุญาตให้คนทั่วไปเข้าสู่ระบบได้ นอกจากนั้นทีมนักวิจัยพบบัญชี Paypal ที่ถูกนำไปขายในเว็บตลาดมืดในราคาเพียง 1.50 ดอลลาห์สหรัฐ หากมีผู้ไม่หวังดีซื้อข้อมูลนำไปใช้ ก็สามารถเข้าใช้งานได้ทันทีโดยไม่มีการตรวจสอบ IP ก่อนการเข้าถึง และไม่มีการยืนยันตัวตน โดยทีมนักวิจัยพบช่องโหว่ร้ายแรง 5 ข้อสำคัญ ดังนี้

1. ข้ามการยืนยันตัวตน 2FA (Authflow)
2. เลี่ยงการตรวจสอบระบบ OTP เมื่อต้องการเปลี่ยนแปลงข้อมูลบัญชี
3. อนุญาตให้คนทั่วไปเปลี่ยนแปลงข้อมูลเจ้าของบัญชีได้
4. ปล่อยให้คนทั่วไปหลอกขอข้อมูลบัญชีจาก ระบบ Paypal SmartChat Online ได้
5. รูรั่วด้านความปลอดภัยของระบบ อาจถูกแฮกได้ในอนาคต

โดยทางทีมนักวิจัยได้แจ้งไปยังบริษัท Paypal และ ออกมาเปิดเผยสู่สาธารณะ เพื่อเตือนให้ผู้ใช้บัญชีกว่า 305 ล้านคน ระมัดระวังในการใช้งาน เปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ตั้งรหัสผ่านให้ยากต่อการคาดเดา พร้อมทั้งกดดันให้ทาง Paypal เร่งแก้ไขช่องโหว่ดังกล่าว เพื่อลดการเกิดการฉ้อโกงเพิ่มในอนาคต ทั้งนี้ขอให้ผู้ใช้งานรอการประกาศการแก้ไขอย่างเป็นทางการจากทาง Paypal ต่อไป

ที่มา

• https://www.forbes.com/sites/zakdoffman/2020/02/22/paypal-critical-login-hack-new-report-warns-you-are-at-risk-from-thieves-heres-the-reality
• https://www.hackread.com/paypal-bug-bounty-report-expose-account-takeover-vulnerabilities