Erneut Schwachstelle in Paypals Zwei-Faktor-Authentifizierung entdeckt

Der 17-jährige Joshua Rogers hat einem Bericht von PC World zufolge eine Sicherheitslücke in Paypals Zwei-Faktor-Authentifizierung entdeckt. Demnach ist es möglich, sich bei einem Paypal-Konto anzumelden, für das die Sicherheitstechnik aktiviert wurde, ohne den zusätzlichen sechsstelligen Zahlencode einzugeben. Einem Angreifer müssen dafür allerdings die Ebay- und Paypal-Zugangsdaten eines Nutzers bekannt sein.

Details zu der Schwachstelle hat Rogers in seinem Blog veröffentlicht. Er habe die Ebay-Tochter im Juni auf den Fehler hingewiesen, der bisher aber noch nicht behoben sei. Durch die Offenlegung der Lücke entgeht Rogers eine Belohnung, die Paypal für vertraulich gemeldete Anfälligkeiten bezahlt. „Mir geht es nicht um das Geld“, zitiert PC World aus einer E-Mail von Rogers. „Geld ist nicht alles.“

Der Fehler steckt in einer Ebay-Seite, die es Nutzern erlaubt, ihr Ebay-Konto mit einem Paypal-Konto zu verbinden. Dabei werde ein Cookie erstellt, das Paypal signalisiere, dass der Nutzer angemeldet sei, schreibt Rogers. Die Funktion „=_integrated-registration“ prüfe nicht, ob das Opfer die Zwei-Schritt-Authentifizierung aktiviert habe. Der Vorgang lasse sich zudem wiederholen, indem die Verbindung zum Paypal-Konto aufgehoben und wiederhergestellt werde. Rogers demonstriert seinen Angriff auch in einem Video.

Eigentlich soll die Zwei-Faktor-Authentifizierung verhindern, dass ein Hacker, der beispielsweise per Phishing oder über einen Keylogger die Anmeldedaten eines Nutzers erbeutet hat, Zugriff auf dessen Konto erhält. Dafür muss neben dem Passwort ein sechsstelliger Zahlencode eingegeben werden. Den Code erhält der Nutzer per SMS. Alternativ können spezielle Smartphone-Apps wie Google Authenticator solche Codes generieren, was jedoch nicht von jedem Diensteanbieter unterstützt wird.

In seiner Heimat Australien hatte Rogers im vergangenen Jahr eine Lücke in der Website von Public Transport Victoria entdeckt, die ihm Zugriff auf Daten von rund 600.000 Kunden gab. Obwohl er dem Bericht zufolge nicht von den Daten profitierte und den Fehler an den Betreiber des Nahverkehrsnetzes im Bundesstaat Victoria meldete, wurde er von der Polizei verwarnt.

Es ist nicht das erste Mal, dass es Forschern gelungen ist, Paypals Zwei-Faktor-Authentifizierung zu umgehen. Im Juni hatte die Sicherheitsfirma Duo Security eine Schwachstelle in der Kommunikation zwischen mobilen Apps und einer API entdeckt, die Paypals offizielle Apps wie auch die von Drittanbietern und Händlern für die Authentifizierung nutzen. Obwohl Paypals Mobil-Apps Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) nicht unterstützen, gelang es den Sicherheitsforschern, sich darüber ohne zweite Authentifizierung bei einem Konto anzumelden und Geld zu überweisen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago