Onderzoeker Joshua Rogers ontdekte het lek door te experimenteren met de manier waarop PayPal-gebruikers hun eBay-account aan de betaaldienst kunnen koppelen. Kopen ze iets op de veilingsite, dan wordt het bedrag automatich van hun PayPal-rekening afgeschreven.

Wanneer je PayPal-account is beveiligd met two-factor authentication, dan heeft een hacker niet genoeg aan enkel je inlognaam en wachtwoord. Als tweede stap wordt er namelijk een SMS-code verstuurd naar je telefoonnummer, die je dient in te voeren om volledig in te loggen. Die code is voor hackers veel moeilijker te achterhalen.

Omzeilen

Maar Rogers ontdekte dat er helemaal niet om die code wordt gevraagd zodra je een eBay-account aan een PayPal-account linkt. Dat is te danken aan een cookie, die niet checkt of een PayPal-gebruiker two-factor authentication aan heeft staan.

Zo is het voor hackers in theorie mogelijk het identificatieproces te omzeilen, eens je inlognaam en wachtwoord van beide sites al zijn gestolen. Dat proces heeft de onderzoeker op YouTube gezet, zodat 'iedereen het kan proberen.'

Publiekelijk

Daarbij geeft de 17-jarige hacker aan dat hij PayPal begin juni al op de hoogte heeft gebracht van het lek, maar dat het bedrijf niets van zich laat horen. Hij maakt de informatie nu publiekelijk, zodat PayPal zich hopelijk toch genoodzaakt ziet het lek te dichten.