Erneut Schwachstelle in Paypals Zwei-Faktor-Authentifizierung entdeckt

Paypal ist die bisher ungepatchte Anfälligkeit seit Juni bekannt. Ein bei der Verknüpfung eines Ebay-Kontos mit einem Paypal-Konto erstelltes Cookie erlaubt eine Anmeldung ohne Eingabe des zusätzlichen Zahlencodes. Entdecker der Lücke ist ein 17-jähriger Australier.

Der 17-jährige Joshua Rogers hat einem Bericht von PC World zufolge eine Sicherheitslücke in Paypals Zwei-Faktor-Authentifizierung entdeckt. Demnach ist es möglich, sich bei einem Paypal-Konto anzumelden, für das die Sicherheitstechnik aktiviert wurde, ohne den zusätzlichen sechsstelligen Zahlencode einzugeben. Einem Angreifer müssen dafür allerdings die Ebay- und Paypal-Zugangsdaten eines Nutzers bekannt sein.

Logo Paypal

Details zu der Schwachstelle hat Rogers in seinem Blog veröffentlicht. Er habe die Ebay-Tochter im Juni auf den Fehler hingewiesen, der bisher aber noch nicht behoben sei. Durch die Offenlegung der Lücke entgeht Rogers eine Belohnung, die Paypal für vertraulich gemeldete Anfälligkeiten bezahlt. „Mir geht es nicht um das Geld“, zitiert PC World aus einer E-Mail von Rogers. „Geld ist nicht alles.“

Der Fehler steckt in einer Ebay-Seite, die es Nutzern erlaubt, ihr Ebay-Konto mit einem Paypal-Konto zu verbinden. Dabei werde ein Cookie erstellt, das Paypal signalisiere, dass der Nutzer angemeldet sei, schreibt Rogers. Die Funktion „=_integrated-registration“ prüfe nicht, ob das Opfer die Zwei-Schritt-Authentifizierung aktiviert habe. Der Vorgang lasse sich zudem wiederholen, indem die Verbindung zum Paypal-Konto aufgehoben und wiederhergestellt werde. Rogers demonstriert seinen Angriff auch in einem Video.

Eigentlich soll die Zwei-Faktor-Authentifizierung verhindern, dass ein Hacker, der beispielsweise per Phishing oder über einen Keylogger die Anmeldedaten eines Nutzers erbeutet hat, Zugriff auf dessen Konto erhält. Dafür muss neben dem Passwort ein sechsstelliger Zahlencode eingegeben werden. Den Code erhält der Nutzer per SMS. Alternativ können spezielle Smartphone-Apps wie Google Authenticator solche Codes generieren, was jedoch nicht von jedem Diensteanbieter unterstützt wird.

In seiner Heimat Australien hatte Rogers im vergangenen Jahr eine Lücke in der Website von Public Transport Victoria entdeckt, die ihm Zugriff auf Daten von rund 600.000 Kunden gab. Obwohl er dem Bericht zufolge nicht von den Daten profitierte und den Fehler an den Betreiber des Nahverkehrsnetzes im Bundesstaat Victoria meldete, wurde er von der Polizei verwarnt.

Es ist nicht das erste Mal, dass es Forschern gelungen ist, Paypals Zwei-Faktor-Authentifizierung zu umgehen. Im Juni hatte die Sicherheitsfirma Duo Security eine Schwachstelle in der Kommunikation zwischen mobilen Apps und einer API entdeckt, die Paypals offizielle Apps wie auch die von Drittanbietern und Händlern für die Authentifizierung nutzen. Obwohl Paypals Mobil-Apps Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) nicht unterstützen, gelang es den Sicherheitsforschern, sich darüber ohne zweite Authentifizierung bei einem Konto anzumelden und Geld zu überweisen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Authentifizierung, Ebay, Paypal, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Erneut Schwachstelle in Paypals Zwei-Faktor-Authentifizierung entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *