互联网上最受信任的公司之一是由一个青少年拥有的。

今天上午我们了解到，PayPal的双因素认证设置有一个相当大的漏洞，在这里详细介绍。发现该漏洞的研究人员是一名17岁的年轻人，他在发现澳大利亚**网站漏洞方面做了令人印象深刻的工作，早在今年6月，他就首次向贝宝（PayPal）报告了该漏洞，但在两个月的广播沉默后，他公开了该漏洞。

公司很少关心安全问题

这不是PayPal第一次遇到双因素问题，也不是第一次表明双因素可能有自己的问题——但对于一家处理资金的公司来说，这并不是一个好现象。用户不应该惊慌失措，前提是没有人知道他们的密码，但是我们告诉人们注册双因素身份验证是有原因的，所以发现PayPal使用了一个考虑不周的cookie，让你绕过了整个过程，这是很尴尬的。该公司表示“正在努力尽快解决问题”，但考虑到两个月的交货期，该公司还没有采取任何措施来解决问题，这一点并不令人放心。

不过，这并不奇怪。安全研究人员喜欢这类***，因为他们以找到***为生，但从角落办公室的角度看却大相径庭。公司很少关心安全问题，即使公司内部有各种各样的人关心。良好的安全性是昂贵的。这通常意味着以某种方式构建服务，让用户多走一两步，而这是大多数公司根本不想做出的牺牲。

考虑到安全性和可用性之间的选择，公司每次都会考虑可用性

贝宝的bug就是一个很好的例子。贝宝（PayPal）想让eBay用户更容易链接自己的账户，因此该公司设置了一种特殊的cookie，可以识别来自eBay的任何人。事实证明，这种cookie也让罗杰斯绕过了贝宝的双重保护。修复它应该很简单，只需禁用cookie并让eBay用户以老式方式登录即可。但是如果PayPal这样做了，那么连接账户的用户就会减少，这将给公司带来更多的损失——比他们可能因为这个错误而损失的钱还要多。考虑到安全性和可用性之间的选择，公司每次都会考虑可用性。

这是每个漏洞报告的核心问题：研究人员想要修复它，而公司却不想。我通常更同情安全方面，但公司也有道理。很难**出没有漏洞的软件，就像很难**出一扇无法破门而入的门一样。随着安全性的提高，收益递减的趋势很快就会出现。你可以在你的房子上安一扇三英寸的钢门，但它又丑又重，你不想。相反，你相信没有人会愿意踢你的门。除了像Heartbleed这样一代人中只有一次的漏洞之外，大多数安全故障都不会有太大的影响，特别是对产生这些漏洞的公司来说。六个月后，很难说Goto Fail对苹果的底线有多大影响。

相反，负面影响表现在生态系统层面。我们只剩下一个相对不受保护的网络，没有什么是完美的，而且（正如奎因·诺顿所说）一切都被破坏了。像美国****局和中国61398部队这样的重量级人物可以收买漏洞，闯入大多数系统，而任何没有企业安全预算的人都只能自谋生路。PayPal并不是最糟糕的案例——没有人会因为这个漏洞而死亡或坐牢——但它又是一个例子，说明了为什么安全世界看起来如此暗淡。问题不是我们不能保护自己，而是我们不想保护自己。

美国东部时间8月5日下午5:24：更新内容包括贝宝的官方回应。