Sicherheitslücke: PayPal behebt Schwachstelle der Zwei-Faktor-Authentifizierung

Veröffentlicht: 02.11.2016 | Geschrieben von: Michael Pohlgeers | Letzte Aktualisierung: 02.11.2016

PayPal hat eine Schwachstelle seiner Zwei-Faktor-Authentifizierung gestopft. Betrügern sei es möglich gewesen, die Abfrage des zweiten Sicherheitsfaktors zu umgehen. Für den Payment-Anbieter ist das eine peinliche Angelegenheit.

PayPal-App und Tastatur

GokGak / Shutterstock.com

Die Zwei-Faktor-Authentifizierung ließ sich mit einem Trick einfach umgehen. Eine Schwachstelle, die der Payment-Anbieter nun geschlossen hat, wie Heise Online berichtet. Demnach hätten bisher Kriminelle, die Benutzernamen und Passwort eines Nutzers kannten, die Kontrolle über das PayPal-Konto übernehmen können, ohne Zugang zum Smartphone des Opfers – also dem zweiten Sicherheitsfaktor – zu haben.

Der Grund für die Schwachstelle sei die Art gewesen, wie PayPal die Abfrage umgesetzt hatte. Hatte ein Nutzer die Zwei-Faktor-Authentifizierung aktiviert und sein Smartphone, auf dem er für das Einloggen die nötige Einmal-PIN empfangen hat, nicht dabei, konnte er alternativ Sicherheitsfragen beantworten. Nach der richtigen Beantwortung war der Login auch ohne die Einmal-PIN möglich.

PayPal behebt „grob fahrlässigen Fehler“

Ein Sicherheitsforscher hatte nun aber entdeckt, dass man die Option wählen und anschließend die Kommunikation mit dem PayPal-Server manipulieren konnte. Wurde die Sicherheitsfrage einfach aus der Kommunikation mit dem Server gelöscht, sei man automatisch eingeloggt worden, ohne die Frage überhaupt zu beantworten.

PayPal hat den „grob fahrlässigen Fehler in der Implementierung der Zwei-Faktor-Authentifizierung“ behoben. Das Unternehmen habe erklärt, dass die Lücke in keiner Weise ausgenutzt worden sei – Konten seien demnach nicht übernommen worden.

Heise zufolge hat PayPal immer wieder Probleme mit der Zwei-Faktor-Authentifizierung. So hatte die iOS-App des Payment-Dienstleisters den zweiten Faktor lange Zeit nicht abgefragt. Und die Beantwortung einer Sicherheitsfrage stellt im Übrigen keinen wirklichen zweiten Faktor dar, da es sich dabei um keine Hardware handelt, auf die man Zugriff haben muss.

Artikel Weiterempfehlen
Aktualisiert: 02.11.2016
Kategorie: Payment
Veröffentlicht: 02.11.2016

Kommentare  

#1 Grössler 2016-11-03 18:06
Paypal sollte mal eine allgemein Zahlungs-Verifi zierung machen, ebay Händler verlieren hundert Tausende Euro, weil Betrüger das System ausnutzen und bei paypal einfach angeben "die Zahlung war nicht autorisiert, oder meine Karte wurde von jemand anderen benutzt...

Selbst kleinere Anbieter wie Webmoney haben diese Schwachstellen ausgemerzt, nur bei paypal kann einfach jeder anrufen und sagen ich wars nicht habe die Zahlung nicht gemacht... der Hämdler hat aber seine Ware längst versendet etc. etc... paypal behaltet das Geld ein und sendet zu 99% an Käufer retour, auch ich habe mehrere Tausend Euro durch dieses System verloren...
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Datenschutz

Verwandte Artikel

PayPal auf Handy
PayPal legt bei Umsatz und Gewinn deutlich zu
Person, die mit Mobiltelefon bezahlt
Visa, Mastercard und PayPal bekommen europäische Konkurrenz
Personalisierter Shopping-Feed
Klarna launcht personalisierten Shopping-Feed

Meistgelesene Artikel

Ebay-Logo unter Lupe
Millionenstrafe: Ebay-Mitarbeiter haben Blogger tyrannisiert
Aktuelle Urteile | 12.01.2024
Smartphone zeigt Amazon Seller Account
Seller in Existenzangst: Amazon behält seit Tagen Auszahlungen ein (Update)
Marktplätze | 07.11.2023
Miele-Logo auf Scheibe
Miele zieht sich von Amazon zurück
Marktplätze | 06.02.2024