Как утверждают исследователи из компании Duo Security, до недавнего времени в системе двухфакторной аутентификации PayPal существовал изъян, позволявший при знании имени пользователя и пароля обойти дополнительную аутентификацию, даже если она была включена в настройках учетной записи.
Мобильные приложения PayPal для iOS и Android не поддерживают двухфакторную аутентификацию и не позволяют работать с учетной записью пользователям, включившим ее в настройках. Однако, как выяснили исследователи, блокирование работы происходит уже после первого этапа аутентификации по паролю, когда приложение получает от сервера сообщение о наличии двухфакторной аутентификации. Короткий перерыв в связи с сервером (например, включением в смартфоне «режима полета») в некоторых случаях не дает приложению получить это сообщение, и оно не блокирует дальнейшую работу. Сервер высылал ключ сессии до завершения второго этапа аутентификации и этот ключ можно было использовать в вызовах программного интерфейса для мобильных приложений.
В компании PayPal признают наличие этой ошибки, но не считают ее особенно опасной. Безопасность учетных записей PayPal обеспечивается не только двухфакторной аутентификацией, подчеркивают в компании.