Der 17-jährige Joshua Rogers hat einem Bericht von PC World zufolge eine Sicherheitslücke in Paypals Zwei-Faktor-Authentifizierung entdeckt. Demnach ist es möglich, sich bei einem Paypal-Konto anzumelden, für das die Sicherheitstechnik aktiviert wurde, ohne den zusätzlichen sechsstelligen Zahlencode einzugeben. Einem Angreifer müssen dafür allerdings die Ebay- und Paypal-Zugangsdaten eines Nutzers bekannt sein.
Details zu der Schwachstelle hat Rogers in seinem Blog veröffentlicht. Er habe die Ebay-Tochter im Juni auf den Fehler hingewiesen, der bisher aber noch nicht behoben sei. Durch die Offenlegung der Lücke entgeht Rogers eine Belohnung, die Paypal für vertraulich gemeldete Anfälligkeiten bezahlt. „Mir geht es nicht um das Geld“, zitiert PC World aus einer E-Mail von Rogers. „Geld ist nicht alles.“
Der Fehler steckt in einer Ebay-Seite, die es Nutzern erlaubt, ihr Ebay-Konto mit einem Paypal-Konto zu verbinden. Dabei werde ein Cookie erstellt, das Paypal signalisiere, dass der Nutzer angemeldet sei, schreibt Rogers. Die Funktion „=_integrated-registration“ prüfe nicht, ob das Opfer die Zwei-Schritt-Authentifizierung aktiviert habe. Der Vorgang lasse sich zudem wiederholen, indem die Verbindung zum Paypal-Konto aufgehoben und wiederhergestellt werde. Rogers demonstriert seinen Angriff auch in einem Video.
Eigentlich soll die Zwei-Faktor-Authentifizierung verhindern, dass ein Hacker, der beispielsweise per Phishing oder über einen Keylogger die Anmeldedaten eines Nutzers erbeutet hat, Zugriff auf dessen Konto erhält. Dafür muss neben dem Passwort ein sechsstelliger Zahlencode eingegeben werden. Den Code erhält der Nutzer per SMS. Alternativ können spezielle Smartphone-Apps wie Google Authenticator solche Codes generieren, was jedoch nicht von jedem Diensteanbieter unterstützt wird.
In seiner Heimat Australien hatte Rogers im vergangenen Jahr eine Lücke in der Website von Public Transport Victoria entdeckt, die ihm Zugriff auf Daten von rund 600.000 Kunden gab. Obwohl er dem Bericht zufolge nicht von den Daten profitierte und den Fehler an den Betreiber des Nahverkehrsnetzes im Bundesstaat Victoria meldete, wurde er von der Polizei verwarnt.
Es ist nicht das erste Mal, dass es Forschern gelungen ist, Paypals Zwei-Faktor-Authentifizierung zu umgehen. Im Juni hatte die Sicherheitsfirma Duo Security eine Schwachstelle in der Kommunikation zwischen mobilen Apps und einer API entdeckt, die Paypals offizielle Apps wie auch die von Drittanbietern und Händlern für die Authentifizierung nutzen. Obwohl Paypals Mobil-Apps Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) nicht unterstützen, gelang es den Sicherheitsforschern, sich darüber ohne zweite Authentifizierung bei einem Konto anzumelden und Geld zu überweisen.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Infostealer-Infektionen haben laut Kaspersky-Studie zwischen 2020 und 2023 um mehr als das sechsfache zugenommen.
Betroffen sind Millionen IoT- und M2M-Geräte Geräte weltweit. Unter anderem können Angreifer per SMS Schadcode…
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
