Paypal: wieder Schwachstelle in Zwei-Faktor-Authentifizierung entdeckt

Ein Cookie, das bei der Verknüpfung eines Ebay-Kontos mit einem Paypal-Konto erstellt wird, erlaubt eine Anmeldung ohne Eingabe des zusätzlichen Zahlencodes. Paypal ist die Anfälligkeit, für die es bisher keinen Patch gibt, seit Juni bekannt.

Einem Bericht von PC World zufolge hat der 17-jährige Australier Joshua Rogers eine Sicherheitslücke in Paypals Zwei-Faktor-Authentifizierung entdeckt. Demnach ist es möglich, sich bei einem Paypal-Konto anzumelden, für das die Sicherheitstechnik aktiviert wurde, ohne den zusätzlichen sechsstelligen Zahlencode einzugeben. Einem Angreifer müssen dafür allerdings die Ebay- und Paypal-Zugangsdaten eines Nutzers bekannt sein.

Paypal

Rogers hat Details zu der Schwachstelle hat in seinem Blog veröffentlicht. Er habe die Ebay-Tochter im Juni auf den Fehler hingewiesen, der bisher aber noch nicht behoben sei. Durch die Offenlegung der Lücke entgeht Rogers eine Belohnung, die Paypal für vertraulich gemeldete Anfälligkeiten bezahlt. „Mir geht es nicht um das Geld“, zitiert PC World aus einer E-Mail von Rogers. „Geld ist nicht alles.“

Der Fehler steckt in einer Ebay-Seite, die es Nutzern erlaubt, ihr Ebay-Konto mit einem Paypal-Konto zu verbinden. Dabei werde ein Cookie erstellt, das Paypal signalisiere, dass der Nutzer angemeldet sei, schreibt Rogers. Die Funktion „=_integrated-registration“ prüfe nicht, ob das Opfer die Zwei-Schritt-Authentifizierung aktiviert habe. Der Vorgang lasse sich zudem wiederholen, indem die Verbindung zum Paypal-Konto aufgehoben und wiederhergestellt werde. Rogers demonstriert seinen Angriff auch in einem Video.

Die Zwei-Faktor-Authentifizierung soll eigentlich verhindern, dass ein Hacker, der beispielsweise per Phishing oder über einen Keylogger die Anmeldedaten eines Nutzers erbeutet hat, Zugriff auf dessen Konto erhält. Dafür muss neben dem Passwort ein sechsstelliger Zahlencode eingegeben werden. Den Code erhält der Nutzer per SMS. Alternativ können spezielle Smartphone-Apps wie Google Authenticator solche Codes generieren, was jedoch nicht von jedem Diensteanbieter unterstützt wird.

Rogers hatte im vergangenen Jahr in seiner Heimat Australien eine Lücke in der Website von Public Transport Victoria entdeckt, die ihm Zugriff auf Daten von rund 600.000 Kunden gab. Obwohl er dem Bericht zufolge nicht von den Daten profitierte und den Fehler an den Betreiber des Nahverkehrsnetzes im Bundesstaat Victoria meldete, wurde er von der Polizei verwarnt.

Forschern ist es nicht zum ersten Mal gelungen ist, Paypals Zwei-Faktor-Authentifizierung zu umgehen. Im Juni hatte die Sicherheitsfirma Duo Security eine Schwachstelle in der Kommunikation zwischen mobilen Apps und einer API entdeckt, die Paypals offizielle Apps wie auch die von Drittanbietern und Händlern für die Authentifizierung nutzen. Obwohl Paypals Mobil-Apps Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) nicht unterstützen, gelang es den Sicherheitsforschern, sich darüber ohne zweite Authentifizierung bei einem Konto anzumelden und Geld zu überweisen.

(Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu Paypal: wieder Schwachstelle in Zwei-Faktor-Authentifizierung entdeckt

  • Am 6. August 2014 um 12:53 von Wolfgang D.

    Was für Zeiten, wo man für vorhandenes Rückgrat bestraft wird.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *