PayPal双认证机制惊报漏洞，紧急停用手机双认证

eBay旗下的PayPal线上支付日前传出安全性漏洞，PayPal目前正在抢修此漏洞，并计划在7月28日释出更新。同时，PayPal目前停止行动装置的双认证机制（Two-factor Authentication，2FA）。PayPal目前年交易金额约600亿美元，使用人数达1.8亿人，目前这些用户都暂时无法使用手机双认证。

行动安全厂商Duo Security的研究员表示，该漏洞能够有效的绕过双认证机制的安全层，可以从行动装置或使用特殊设计的程式来进行攻击。

在3月时，有一独立研究员Dan Saltman发现一种方法可以绕过PayPal在苹果iOS行动装置下的双认证机制，但事后并未得到PayPal的回应。于是在4月，Dan Saltman请Duo Security协助重现这个安全问题，并且将漏洞回报给PayPal，Duo Security的研究员确认了Dan Saltman找到的漏洞后，同时也发现在Android装置上也有一样的问题。

双认证机制增加了另一层安全机制，当用户登入时多了一个回应的步骤，以确认是用户本人，即使有了用户账号和密码，双认证机制可以预防未授权的登入。

PayPal表示，透过PayPal漏洞悬赏计划（PayPal Bug Bounty Program），在近期查觉到PayPal的双认证机制在行动装置上有潜藏的风险，不过PayPal强调，PayPal上的所有账户是安全的。PayPal对此漏洞也采取预防措施，目前已禁用双认证机制的登入选项。