iOS 及 Android 平台均无可幸免
名为 Dan Saltman 的独立研究员,于本年 3 月发现一个可供黑客绕过 PayPal 在 Apple iOS 装置下的双重认证机制 (Two-factor Authentication,2FA),虽然他随后向 PayPal 回报此问题,但当时并未得到 PayPal 的回应。
流动装置安全服务供应商 Duo Security 的研究人员,则于四月邀请 Saltman 协助他们重现此漏洞,他们亦同时亦发现此漏洞亦会出现于 Android 上。Duo Security 研究人员在证实漏洞的真确性后,就以其公司名义将漏洞回报予 PayPal。
PayPal 随后表示,最近透过其漏洞悬赏计画 (PayPal Bug Bounty Program) ,发现他们的双重认证机制在流动装置上有潜在风险。但 PayPal 强调,储存在 PayPal 上的所有帐户与资料都是安全的。
而 PayPal 亦随即对此漏洞採取保障措施,而 PayPal 的双重认证机制目前已被禁用,用户毋须自行调整设定。但仍建议用户在 PayPal 堵塞此漏洞前,应停止使用透过手机进行的双重认证机制。