De tweefactor-authenticatie van PayPal blijkt brak. Beveiligingsonderzoekers van Duo Security hebben een mogelijkheid tot het omzeilen van de extra beveiligingslaag van de betaaldienst gevonden. In een gedetailleerde blogpost tonen zij de kwetsbaarheid aan in de PayPal Security Key, waarmee gebruikers het inloggen verifiëren met een unieke code die wordt gestuurd naar een gekoppelde mobiele telefoon.

Eenvoudig trucje

Specialisten van Duo Security ondervonden dat het tweefactor-authenticatie (2FA) mechanisme, verkeerd is geïmplementeerd. Met een eenvoudig trucje, waarbij op een specifiek moment de connectie wordt verbroken en weer aangezet, wordt de tweede beveiligingslaag van de Security Key simpel omzeild. Hoewel de feature op de mobiele client (PayPal for iPad of Android) al niet werkte, kan deze op een smartphone of tablet worden misbruikt.

Ontdekker tech entrepreneur Daniel Blake Saltman waarschuwde PayPal op 28 maart over de zaak. Later stapte hij ook naar Duo Security. Zij noemen de beloofde extra beveiligingslaag van PayPal tegenover The Guardian "slordig" en spreken in de conclusie van hun onderzoek over schijnheiligheid.

Extra pijnlijk

En dat is extra pijnlijk aangezien PayPal zelf sinds deze maand "optimale beveiliging" eist van zijn gebruikers op pc, tablet of telefoon. De nieuwe gebruikersvoorwaarden die per 17 juni zijn ingegaan worden mensen voortaan verplicht om hun apparatuur zo veilig mogelijk te houden. Een verplichting die bijvoorbeeld ook de Nederlandse banken sinds dit jaar hebben opgelegd.

PayPal heeft intussen een fix geïmplementeerd, maar werkt nog aan een definitieve oplossing. Die staat gepland voor 28 juli.

Lees verder: Wat is multifactor-authenticatie?