PayPal hat eine Schwachstelle seiner Zwei-Faktor-Authentifizierung gestopft. Betrügern sei es möglich gewesen, die Abfrage des zweiten Sicherheitsfaktors zu umgehen. Für den Payment-Anbieter ist das eine peinliche Angelegenheit.
Die Zwei-Faktor-Authentifizierung ließ sich mit einem Trick einfach umgehen. Eine Schwachstelle, die der Payment-Anbieter nun geschlossen hat, wie Heise Online berichtet. Demnach hätten bisher Kriminelle, die Benutzernamen und Passwort eines Nutzers kannten, die Kontrolle über das PayPal-Konto übernehmen können, ohne Zugang zum Smartphone des Opfers – also dem zweiten Sicherheitsfaktor – zu haben.
Der Grund für die Schwachstelle sei die Art gewesen, wie PayPal die Abfrage umgesetzt hatte. Hatte ein Nutzer die Zwei-Faktor-Authentifizierung aktiviert und sein Smartphone, auf dem er für das Einloggen die nötige Einmal-PIN empfangen hat, nicht dabei, konnte er alternativ Sicherheitsfragen beantworten. Nach der richtigen Beantwortung war der Login auch ohne die Einmal-PIN möglich.
Ein Sicherheitsforscher hatte nun aber entdeckt, dass man die Option wählen und anschließend die Kommunikation mit dem PayPal-Server manipulieren konnte. Wurde die Sicherheitsfrage einfach aus der Kommunikation mit dem Server gelöscht, sei man automatisch eingeloggt worden, ohne die Frage überhaupt zu beantworten.
PayPal hat den „grob fahrlässigen Fehler in der Implementierung der Zwei-Faktor-Authentifizierung“ behoben. Das Unternehmen habe erklärt, dass die Lücke in keiner Weise ausgenutzt worden sei – Konten seien demnach nicht übernommen worden.
Heise zufolge hat PayPal immer wieder Probleme mit der Zwei-Faktor-Authentifizierung. So hatte die iOS-App des Payment-Dienstleisters den zweiten Faktor lange Zeit nicht abgefragt. Und die Beantwortung einer Sicherheitsfrage stellt im Übrigen keinen wirklichen zweiten Faktor dar, da es sich dabei um keine Hardware handelt, auf die man Zugriff haben muss.