Lücke in Paypals Zwei-Faktor-Authentifizierung entdeckt

Elektronisches BezahlenMarketingSicherheitSicherheitsmanagement
Paypal Logo (Bild: Paypal)

Experten der Sicherheitsfirma Duo Security konnten sich ohne zweite Authentifizierung anmelden und Geld überweisen. Sie nutzen dazu die Mobil-App. Paypal hat eine Übergangslösung zur Verfügung gestellt. Behoben werden soll das Problem bis Ende Juli.

Über eine Sicherheitslücke ließ sich Paypals Zwei-Faktor-Authentifizierung aushebeln. Entdeckt hat das die Sicherheitsfirma Duo Security. Der Bezahldienst hat das Problem bereits zugegeben und durch eine Übergangslösung entschärft. Komplett behoben sein soll es bis Ende Juli.

Duo Security hat eine Lücke in Paypals Zwei-Faktor-Authentifizierung entdeckt

Die Sicherheitsforscher konnten eine Schwachstelle in der Kommunikation zwischen mobilen Apps und einer API ausnutzen, die sowohl Paypals offizielle Apps als auch die von Drittanbietern und Händlern für die Authentifizierung verwenden. Sie konnten sich so ohne zweite Authentifizierung bei einem Konto anmelden und Geld überweisen. Dabei sprachen sie die Paypal-API direkt an und täuschten vor, die App greife auf ein Konto ohne aktivierte Zwei-Faktor-Authentifizierung zu.

Wenn Anwender Paypals als “Sicherheitsschlüssel” bezeichnete Zwei-Faktor-Authentifizierung wählen, bekommen sie einen Bestätigungscode an das Mobiltelefon gesandt – oder benötigen zur Anmeldung ein von Paypal ausgegebenes Gerät in Kreditkartengröße, das einen Sicherheitscode erzeugt. Diese Methode verspricht zusätzliche Sicherheit auch dann, wenn ein Angreifer Benutzernamen und Passwort kennt.

Durch die von Duo Security aufgedeckte Schwachstelle lief das Verfahren jedoch ins Leere. Als Übergangslösung hat der Bezahldienst dafür gesorgt, dass sich Kunden mit aktivierter Zwei-Faktor-Authentifizierung nicht mehr mit Mobil-Apps von Paypal und anderen Anbietern bei ihrem Konto anmelden können. Ihnen bleibt mit Mobilgeräten nur noch der Weg über Paypals mobile Website.

Laut Paypal ist das Problem jedoch weniger gravierend, als es zunächst erscheint. Man habe zusätzlich zur Zwei-Faktor-Authentifizierung umfangreiche Maßnahmen zur Risiko- und Betrugserkennung eingerichtet. Dennoch versichert der Bezahldienst: “Wir werden so schnell wie möglich daran arbeiten, dieses Problem für Sie zu lösen.” Laut Duo Security soll eine endgültige Lösung für das Authentifizierungsproblem bis zum 28. Juli bereitstehen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen