Der 17-jährige Joshua Rogers hat einem Bericht von PC World zufolge eine Sicherheitslücke in Paypals Zwei-Faktor-Authentifizierung entdeckt. Demnach ist es möglich, sich bei einem Paypal-Konto anzumelden, für das die Sicherheitstechnik aktiviert wurde, ohne den zusätzlichen sechsstelligen Zahlencode einzugeben. Einem Angreifer müssen dafür allerdings die Ebay- und Paypal-Zugangsdaten eines Nutzers bekannt sein.
Details zu der Schwachstelle hat Rogers in seinem Blog veröffentlicht. Er habe die Ebay-Tochter im Juni auf den Fehler hingewiesen, der bisher aber noch nicht behoben sei. Durch die Offenlegung der Lücke entgeht Rogers eine Belohnung, die Paypal für vertraulich gemeldete Anfälligkeiten bezahlt. „Mir geht es nicht um das Geld“, zitiert PC World aus einer E-Mail von Rogers. „Geld ist nicht alles.“
Der Fehler steckt in einer Ebay-Seite, die es Nutzern erlaubt, ihr Ebay-Konto mit einem Paypal-Konto zu verbinden. Dabei werde ein Cookie erstellt, das Paypal signalisiere, dass der Nutzer angemeldet sei, schreibt Rogers. Die Funktion „=_integrated-registration“ prüfe nicht, ob das Opfer die Zwei-Schritt-Authentifizierung aktiviert habe. Der Vorgang lasse sich zudem wiederholen, indem die Verbindung zum Paypal-Konto aufgehoben und wiederhergestellt werde. Rogers demonstriert seinen Angriff auch in einem Video.
Eigentlich soll die Zwei-Faktor-Authentifizierung verhindern, dass ein Hacker, der beispielsweise per Phishing oder über einen Keylogger die Anmeldedaten eines Nutzers erbeutet hat, Zugriff auf dessen Konto erhält. Dafür muss neben dem Passwort ein sechsstelliger Zahlencode eingegeben werden. Den Code erhält der Nutzer per SMS. Alternativ können spezielle Smartphone-Apps wie Google Authenticator solche Codes generieren, was jedoch nicht von jedem Diensteanbieter unterstützt wird.
In seiner Heimat Australien hatte Rogers im vergangenen Jahr eine Lücke in der Website von Public Transport Victoria entdeckt, die ihm Zugriff auf Daten von rund 600.000 Kunden gab. Obwohl er dem Bericht zufolge nicht von den Daten profitierte und den Fehler an den Betreiber des Nahverkehrsnetzes im Bundesstaat Victoria meldete, wurde er von der Polizei verwarnt.
Es ist nicht das erste Mal, dass es Forschern gelungen ist, Paypals Zwei-Faktor-Authentifizierung zu umgehen. Im Juni hatte die Sicherheitsfirma Duo Security eine Schwachstelle in der Kommunikation zwischen mobilen Apps und einer API entdeckt, die Paypals offizielle Apps wie auch die von Drittanbietern und Händlern für die Authentifizierung nutzen. Obwohl Paypals Mobil-Apps Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) nicht unterstützen, gelang es den Sicherheitsforschern, sich darüber ohne zweite Authentifizierung bei einem Konto anzumelden und Geld zu überweisen.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…