PayPal stopft peinlichen Fehler in Zwei-Faktor-Anmeldung

Mit einem Trick und einer simplen Manipulation am eigenen Traffic konnten Angreifer die Abfrage des zweiten Sicherheitsfaktors bei PayPal umgehen und Konten so kapern. Die Art, auf die PayPal die Abfrage umgesetzt hatte, war grundsätzlich unsicher.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
PayPal stopft peinlichen Fehler in Zwei-Faktor-Anmeldung

Entfernt man die Sicherheitsfragen aus der Anfrage des Servers, ignoriert PayPal diese und meldet den Nutzer an.

(Bild: Henry Hoggart)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

PayPal hat eine Schwachstelle in seiner Zwei-Faktor-Anmeldung geschlossen, die den zweiten Faktor überflüssig gemacht hatte. Ein Angreifer, der Nutzername und Passwort eines Opfers kannte, konnte so die Kontrolle über das PayPal-Konto übernehmen, ohne Zugang zum Smartphone des Opfers zu haben. Der Lücke lag ein Implementationsfehler zu Grunde, den der Anbieter nun behoben hat.

Ist bei einem PayPal-Konto die Zwei-Faktor-Anmeldung aktiviert und man hat das Smartphone, auf dem man die Einmal-PIN für das Einloggen empfängt, nicht dabei, kann man alternativ Sicherheitsfragen beantworten und sich trotzdem einloggen. Ein Sicherheitsforscher hatte entdeckt, dass man diese Option wählen kann – wenn man dann aus der Kommunikation mit dem PayPal-Server einfach die Sicherheitsfragen herauslöscht, wird man automatisch eingeloggt, ohne sie beantwortet zu haben. Dazu braucht der Angreifer Login und Passwort für ein Konto, einen beliebigen Computer und einen Proxy-Server, um die Requests an den PayPal-Server abzufangen und zu manipulieren.

Diesen grob fahrlässigen Fehler in der Implementation der Zwei-Faktor-Anmeldung hat PayPal nun aus der Welt geschafft. Gegenüber der britischen Nachrichtenseite The Register gab die Firma zu Protokoll, man habe keine Anzeichen dafür, dass die Lücke in irgendeiner Weise ausgenutzt worden sei, um Konten zu kompromittieren.

PayPal hat immer wieder Probleme mit seiner Zwei-Faktor-Authentifizierung. Schon vor drei Jahren berichtete heise Security darüber, dass die iOS-App des Dienstes den zweiten Faktor eine Zeit lang gar nicht abgefragt hatte. Auch war damals schon bekannt, dass eine Umgehung des zweiten Faktor durch Beantwortung einfacher Sicherheitsfragen eigentlich die Idee hinter dem Zwei-Faktor-Konzept ad absurdum führt – da es genau genommen keinen zweiten Faktor (also Hardware, die man in den Händen halten muss) mehr gibt. (fab)