Noch ein ganz kurzer Infosplitter zum Sonntag: Wenn Hacker einem die Identität eines Benutzerkontos (Twitter, Mail etc.) stehlen, hat man ein riesiges Problem. Aktuell mal wieder ein Fall von Sicherheitsblogger Brian Krebs, dem das PayPal-Konto gehackt wurde.
Anzeige
Brian Krebs hat den Fall in seinem Blog im Artikel 2016 Reality: Lazy Authentication Still the Norm dokumentiert. Weihnachten wurde sein PayPal-Konto gehackt und jemand versuchte, das Guthaben an eine Gruppe im IS-Umfeld zu übertragen. Krebs hat das Ganze bemerkt und die falschen Anmeldedaten samt E-Mail wieder zurückgesetzt. Gleichzeitig informierte er PayPal über den Angriff und erhielt die Zusage, dass sein Konto auf ungewöhnliche Aktivitäten überwacht würde.
Kurze Zeit später war sein PayPal-Konto wieder gehackt und er konnte sich nicht einmal mehr anmelden. Diesmal hat er sich bei der PayPal Hotline mit einem Supervisor verbinden lassen und erfuhr, dass niemand sein Konto gehackt hatte. Vielmehr hat jemand bei PayPal angerufen und sein PayPal-Konto zurücksetzen lassen. Zur Authentifizierung reichte es, ein paar öffentlich von Krebs einsehbare Daten (wie Sozialversicherungsnummer) zu hinterlassen. Dann wurde das Konto auf die neue E-Mail-Adresse und ein neues Kennwort umgestellt. Im Gespräch mit der PayPal-Hotline wurde deutlich, dass die keine Mobiltelefon-Authentifizierung durchführen können. Schlamperei hoch drei – und dass bei Finanzdaten – Details findet ihr im Blog-Post von Brian Krebs.
Anzeige
Also wenn überhaupt PayPal, dann eine PrePaid Kreditkarte als Zahlungsmethode hinterlegen und das Guthaben darauf immer nur für vorgeplante Zahlungen auffüllen. Ist zwar etwas umständlich, aber minimiert das Risiko um etliches.
Mal abgesehen von dem finanziellen Ärger, möchte ich nicht wissen, ob es nicht auch noch Probleme gibt, weil von seinem Konto eine finanzielle Unterstützung terroristischer Gruppen erfolgt ist. Und von den Geheimdienstlisten kommt er nie wieder runter.