Το σύστημα πληρωμών της PayPal είναι ευάλωτο στη διαδικασία επιβεβαίωσης στοιχείων, πράγμα το οποίο μπορεί να επιτρέψει σε οποιονδήποτε να παρακάμψει το φίλτρο ή τον περιορισμό της online υπηρεσίας και να αποκτήσει πρόσβαση σε μπλοκαρισμένους λογαριασμούς. Η ευπάθεια εντοπίζεται στη εφαρμογή της PayPal για κινητά, η οποία δεν κάνει έλεγχο για μπλοκαρισμένους λογαριασμούς από την κεντρική υπηρεσία.
Σε ένα desktop ή laptop, όταν ο χρήστης βάλει πολλές φορές λανθασμένο “όνομα χρήστη” ή “κωδικό”, τότε για λόγους ασφαλείας η PayPal, θα μπλοκάρει αυτό το λογαριασμό, μέχρι ο χρήστης να απαντήσει αρκετές ερωτήσεις επαναφοράς και επιβεβαίωσης.
Εάν όμως ο συγκεκριμένος χρήστης προσπαθήσει να μπει στον προσωρινά μπλοκαρισμένο λογαριασμό του στη PayPal, με τα σωστά διαπιστευτήρια, από μια επίσημη εφαρμογή για κινητά, τότε θα αποκτήσει πρόσβαση στο συγκεκριμένο λογαριασμό.
“Η εφαρμογή εξετάζει μόνο εάν ο λογαριασμός υπάρχει και όχι εάν είναι μερικώς ή πλήρως μπλοκαρισμένος. Είναι πολύ πιθανό ο μπλοκαρισμένος χρήστης να έχει πρόσβαση στο λογαριασμό του, να μπορεί να στείλει χρήματα και να κάνει οποιαδήποτε συναλλαγή από εκεί”, όπως γράφεται στην αναφορά της εταιρείας για το ευάλωτο σημείο της εφαρμογής.
Η σημαντική αυτή έλλειψη ασφαλείας ανακαλύφθηκε πριν από ένα χρόνο από τον Benjamin Kunz Mejri και ως υπεύθυνος ερευνητής, ανέφερε αμέσως τα ευρήματά του στο PayPal, αλλά ακόμη όχι μόνο δεν έχει επιδιορθωθεί το πρόβλημα, αλλά και ο ίδιος ο Benjamin δεν έχει πληρωθεί για την ανακάλυψη του. Αν και δόθηκε βαθμός σημαντικότητας 6,2 στο τρωτό αυτό σημείο, δεν του έχει δοθεί ακόμη κάποιος αναγνωριστικός χαρακτηρισμός.
Ο Benjamin Kunz Mejri δημοσιοποίησε μάλιστα και ένα video όπου βάζει πολλές φορές λάθος στοιχεία εισαγωγής, ώστε να μπλοκαριστεί ο λογαριασμός του από τη PayPal. Αφού γίνεται αυτό, το σύστημα του ζητάει να απαντήσει σε μερικές ερωτήσεις ασφαλείας ώστε να επαναφέρει το λογαριασμό.
Εκείνη τη στιγμή όμως χρησιμοποιώντας την iOS συσκευή του, κάνει log in, βάζοντας τον σωστό συνδυασμό username και password και αποκτά πρόσβαση στον μέχρι τώρα μπλοκαρισμένο λογαριασμό του.
Το κενό αυτό ασφαλείας επηρεάζει την εφαρμογή σε λειτουργικό iOS – τόσο σε iPhone όσο και σε iPad – καθώς δε μπορεί να κάνει έλεγχο σε μηχανισμούς ασφαλείας οι οποίοι σε ένα υπολογιστή δε θα επέτρεπαν πρόσβαση. Σύμφωνα με την έκθεση του Benjamin οι εκδόσεις 4.6.0 και 5.8 του iOS έχουν αυτό το πρόβλημα.
Η υπηρεσία που προσφέρει η PayPal ως θυγατρική του eBay, εξυπηρετεί πάνω από 148 εκατομμύρια λογαριασμούς σε 26 διαφορετικά νομίσματα και σε 193 παγκόσμιες αγορές, ενώ διαχειρίζεται περίπου 9 εκατομμύρια πληρωμές καθημερινά.
