Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt

[English]Beunruhigende Geschichte, die mir gerade von Sicherheitsanalysten zugegangen ist. Der Anbieter PayPal hat seit einem Monat Sicherheitslücken in seinem System, die im Januar 2020 gemeldet, bisher aber nicht behoben sind. Hacker können diese missbrauchen, um PayPal- und Bankkonten abzuräumen. Zudem erreichen mich seit ungefähr 14 Tagen Mails von Nutzern, dass ihre PayPal-Konten missbraucht würden.


Anzeige

Meldungen über PayPal-Hacks

Hier im Blog hatte ich kürzlich im Artikel Massen-Newsletter-Spam und der Paypal-Konten-Hack über einen PayPal-Hack berichtet. Einem Kunden gingen tausende Anmeldungen für Newsletter zu. Am Ende des Tages stellte sich heraus, dass dessen PayPal-Konto gehackt und dann auf dessen Rechnung bestellt worden war. In den Kommentaren hat sich ein weiterer Betroffener gemeldet. Heute traf bei mir eine E-Mail von Blog-Leser Michael P. ein, der mir folgendes berichtete:

hast du evtl. Kenntnis darüber, dass momentan wieder eine Masche aktiv
ist, wo Scammer gehackte Paypal Accounts nutzen und bei CD-Keys
Playstation Network-Karten kaufen?

Ein Freund von mir hat vor ein paar Stunden eine E-Mail von Paypal (bzw.
eine Benachrichtigung über deren App) über die Transaktion bekommen. Er hat keine PS4 und die Karte hat er genauso wenig gekauft. Auch weiß er
nicht, woher derjenige seinen Paypal Account her hat.

Michael P. hat dann recherchiert und gesehen, dass es diese Masche wohl schon seit 2018
zu geben scheint. Michael hat mir einen Link auf das PayPal-Forum gepostet. Auf Seite 3 häufen sich die Meldungen von Betroffenen im Januar 2020. Da gibt es wohl jemanden, der am 27.01.20 eine Meldung abgesetzt hat. Diese Einzelfälle ergaben schon ein Bild, das da was im Busch ist. Die Frage: Wie kommen die Cyber-Kriminellen an die PayPal-Konten?

Seit letztem Jahr gibt es noch die PayPal-Betrugsmasche über eBay-Kleinanzeigen, wo Leute über Dreiecksgeschäfte abgezockt werden. Verkäufer 1 bietet Ware an, die ein Käufer (2) erwirbt. Diese setzt seinerseits eine ähnliche, aber fingierte, Kleinanzeige auf, und lässt sich von einem dritten Käufer per PayPal zahlen. Dabei gibt er aber die PayPal-Adresse von Verkäufer 1 an. Dieser erhält sein Geld und rückt die Ware an den Käufer (2) heraus. Der Käufer verschwindet, ohne Nutzer 3 die bezahlte Ware zu übersenden. Der reklamiert bei PayPal, worauf der Betrag vom Verkäufer zurückgebucht wird. Der bekommt also kein Geld und ist seine Ware los. Details sind z.B. bei SWR 3 hier (und bei Chip hier) erklärt. Hat aber wohl mit obigen Fällen nichts zu tun.

Nicht geschlossene PayPal-Schwachstellen

Eben erreichte mich eine Mail von CyberNews, die möglicherweise ein Puzzleteil im Bild, warum die PayPal-Accounts gehackt werden konnten, liefert. Die Sicherheitsanalysten sitzen in Vilnius und scheinen sich auch über BugBouty-Programme von Firmen zu finanzieren. Deren Sicherheitsexperten sind einer ziemlichen Sauerei, und dies in doppelter Form, auf die Spur gekommen, wenn die Informationen zutreffen. Die Experten warnen PayPal-Kunden vor Sicherheitsmängeln, die der Plattform vor fast einem Monat gemeldet, aber bisher nicht geschlossen wurden. Zudem hat es den Anschein, dass sie auch noch um die Bug-Bounty-Prämien geprellt worden sein könnten.

Betrug an Ethical-Hackern?

Im Mittelpunkt des Problems steht, nach den Aussagen von CyberNews, das Bug Bounty- und “Ethical Hacking”-Programm, das von HackerOne (www.HackerOne.com) für PayPal und zahlreiche andere große Unternehmen und Regierungsbehörden in den USA und Europa betrieben wird. Solche Programme sollten Hacker dafür belohnen, dass sie Unternehmen auf Schwachstellen aufmerksam machen. Große Firmen wie Google etc. nutzen dies, damit Hacker Schwachstellen melden. Eigentlich eine gute Sache, wie ich finde.

Die Erfahrung der Analysten von CyberNews zeigen jedoch die Schattenseiten bzw. die Befürchtungen, dass einige Unternehmen sich um Auszahlungen von Bug-Bounty-Prämien drücken. Und es gibt den Verdacht der Hacker-Community, dass gemeldete Bugs von den Gutachtern der Plattformen wie HackerOne mehr oder weniger kassiert werden, um die Bug-Bounty-Prämie für sich selbst zu beanspruchen.

Smoking Gun bei PayPal-Schwachstellen?

Im jüngsten Fall haben die Analysten von CyberNews PayPal wohl so etwas wie einen rauchenden Colt für die obigen Verdächtigungen gefunden. Die Analysten meldeten Paypal über das von HackerOne betriebene Bug Bounty-Programm erstmals in der ersten Januarhälfte sechs Schwachstellen.

  • Drei der gemeldeten Schwachstellen wurden, laut Aussage von CyberNews, von HackerOne/PayPal nicht als Probleme anerkannt, aber dennoch stillschweigend von PayPal behoben.
  • Die anderen drei Schwachstellen sind immer noch nicht behoben – PayPal bestreitet, dass zwei davon in seiner Verantwortung liegen.

Diese Schwachstellen erlauben Hackern PayPal-Konten zu kapern und die Bankkonten der Nutzer zu leeren, schreiben die Sicherheitsforscher.

HackerOne: Broken by Design?


Anzeige

Die Art und Weise, wie das System von HackerOne funktioniert, ist einfach: Bei HackerOne prüfen und kategorisieren eigene Sicherheitsanalysten schnell jedes gemeldete Problem und eskalieren oder schließen diese Meldungen, je nach Bedarf. Idee ist es, dass die HackerOne-Sicherheitsanalytiker gemeldete Probleme identifizieren, eine Replizierung versuchen und mit dem Anbieter kommunizieren, um an einer Lösung zu arbeiten. So weit die Theorie.

Bernard Meyer, Senior Researcher von CyberNews, hat nun seine eigenen Erfahrungen mit diesem Ansatz gemacht. Er sagt: “Es gibt hier einen großen Fehler: Diese Sicherheitsanalytiker, die Berichte über Schwachstellen bewerten, sind auch aktive Bug-Bounty-Hacker. Im Wesentlichen haben diese Sicherheitsanalytiker die Macht, ein gemeldetes Problem zu eskalieren, zu verzögern oder zu schließen.” Das verleite zum Betrug und Missbrauch, so Meyer. Die Gutachter könnten in böser Absicht handeln und den ursprünglichen Bericht verzögern, während sie die Schwachstelle selbst mit einer anderen Identität melden, um die Prämie einzusammeln, und dann den ursprünglichen Bericht als nicht zutreffend oder vielleicht als Duplikat schließen.

“Das System ist anfällig für Missbrauch, insbesondere da die Sicherheitsanalytiker auf HackerOne generische Benutzernamen verwenden. Das bedeutet, dass es keine wirkliche Möglichkeit gibt, zu erfahren, was sie auf anderen Bug-Bounty-Plattformen tun.”, so Meyer weiter.

Schwachstellen gemeldet, leer ausgegangen und abgestraft

Als die Analysten die sechs Schwachstellen bei PayPal entdeckten, trafen sie bei HackerOne, laut eigenen Aussagen, auf nicht reagierende Mitarbeiter, vage Antworten und oft auch auf Verweigerung. Dabei gefährdeten die Schwachstellen die Sicherheit von Millionen PayPal-Benutzern. Die Sicherheitsanalysten beschwerten sich, als sie merkten, was schief lief, und versuchten Druck Druck auszuüben, damit die Meldungen weiter geleitet würden. HackerOne entfernte, so die Aussage von Cybernews, dann Punkte vom Reputationswert des betreffenden Benutzerkontos. Dadurch wurden die Cybernews Profile zur PayPal-Meldung auf eine verdächtige, spamähnliche Stufe zurückgestuft.

Bitter, denn die Leute schreiben, dass dies geschah, obwohl die von ihnen gemeldeten Schwachstellen nachträglich gepatcht wurden. Prämien gab es für diese Meldungen keine und nicht mal eine Erwähnung oder ein Dankeschön erhielten die Sicherheitsforscher. Stattdessen waren sie auf HackerOne noch herabgestuft worden – oder deutlicher ausgedrückt: Auf der Plattform verbrannt. Sie standen sich am Ende des Tages schlechter, als wenn sie nichts gemeldet hätten.

PayPal: Schlechter Ruf unter Bug-Bounty-Jägern

Könnte man als Einzelfall, unglückliche Verkettung von Umständen oder einfach falsche Darstellung der CyberNews-Leute abtun. Dazu schreiben die Leute aber: “Auch unsere Analysten sind nicht die einzigen ethischen Hacker, die dies erleben. PayPal hat den Ruf, dass es die Zahlung legitimer Bug-Bounty-Prämien vermeidet. So wird der Fall des 17-jährigen Hackers aufgeführt, der 2013 einen dicken Fehler bei PayPal gefunden hat. PayPal weigerte sich zu bezahlen, weil der Hacker zu jung war. “ Der Fall von Robert Kugler aus dem Jahr 2013 und weitere Fälle zu PayPals Verhalten im Bug-Bounty-Programm sind hier erwähnt.

Die sechs PayPal-Schwachstellen

Die Sicherheitsforscher haben den aktuellen Fall in diesem Beitrag samt der Schwachstellen dokumentiert. So lässt sich die Zweifaktor-Authentifizierung (2FA) bei PayPal wohl leicht aushebeln. Hier eine Liste mit noch offenen Schwachstellen, die die Leute von CyberNews mir bereitgestellt haben.

Open PayPal vulnerabilities (Feb. 2020)

Lediglich drei Schwachstellen (#4 Full name change, #5 Self-help SmartChat vulnerability on PayPal und #6 Security questions persistent XSS) sind inzwischen behoben. Die Details sind im CyberNews-Artikel beschrieben.

Was mir die Tage und heute aufgefallen ist: Ich kann aktuell in meinem PayPal-Benutzerkonto das Kennwort nicht so ändern, wie ich will. Es werden fälschlich ungültige Zeichen gemeldet und das neue Kennwort nicht angenommen. Weiterhin habe ich versucht, das eingetragene Bankkonto zu entfernen – geht nicht. Broken by Design.

Ergänzung: Langsam nimmt das Ganze unerfreuliche Züge an – da ioh binnen 2 Wochen jetzt einige Missbrauchsfälle im Blog thematisiert habe (siehe Linkliste).

Ähnliche Artikel:
Neues zu unberechtigten PayPal-/Google Pay-Abbuchungen
Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal
Massen-Newsletter-Spam und der Paypal-Konten-Hack


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt


  1. Anzeige
  2. Steffen sagt:

    Das klingt nicht sehr gut, leider bin ich auf Paypal angewiesen sonst geht freenet FUNK nicht.

  3. Peter sagt:

    Ich wäre ja froh, wenn Paypal überhaupt auf Ebay wieder funktionieren würde. Seit ein paar Tagen tut es das nämlich nicht mehr.
    Paypal gibt Ebay die Schuld, Ebay verweist auf Paypal.

  4. Anzeige

  5. 1ST1 sagt:

    Ich habe die vorige Meldung zum Thema genutzt, bei meinem Paypalaccount mal wieder das Passwort zu wechseln und 2-Faktor-Authentifizierung und SMS-Benachrichtigung bei jeder Aktivität einzuschalten. Die Anmeldedaten bekommt mal also nicht für $1,50. Was ich komisch finde, die 6stellige Zahl im der Authentifizierung unter Konteneinstellung auf meinem Androiden funktioniert nie, sondern immer ein alternativ per SMS empfangener Code.

    Was mir momentan viel mehr Sorgen macht, ist der eBay Sniper Biet-o-Matic. Der ist eigentich “Open Source”, muss sich aber auf ein Binary verlassen, welches das nicht ist, um mit eBay zu kommunizieren. Das Original ist aber nicht mehr funktionsfähig, wegen Änderungen bei eBay. Der Original-Autor von Biet-o-Matic ist seit 1-2 Jahren nicht mehr aktiv, jetzt hat ein Anbieter einer anderen (kommerziellen) Sniper-Alternative die Pflege des Programms auf einer anderen Webseite übernommen, und dieser verhält sich nicht sehr vertrauenserweckend. Biet-o-Matic ist damit für mich leider erstmal verbrannt, denn dieses Binary kann mit meinen Login-Daten grundsätzlich machen, was es will…

  6. Andres Müller sagt:

    Paypal liegt bei Hackern bestimmt in der Skala der Beliebtheit sehr weit oben auf.
    Man muss daher wirklich regelmässig kontrollieren ob die Buchungen auf Paypal in Ordnung sind. Auf ein solches Konto greift man am Besten über einen eigens für Bankgeschäfte gepflegten sicheren Browser zu. Ich verwende seit Langem für Bankgeschäfte einen je eigenen portablen Firefox Webbrowser. Es gibt auch Virenscanner wie der ESET Antivirus welcher einen eigens präparierten Webbrowser für Bankgeschäfte anbietet.

    PS:
    Nach dem durchlesen dieses Artikels ich habe mal nachgesehen was es auf bekannten Torrent Suchmaschinen so gibt bezüglich Paypal. Nach nur 2 Minuten Sucharbeit: Dort gibt es unter vielem Anderen seit mindestens 2011 ein Hackertool das angeblich benutzt werden kann um über Paypal an “freies” Geld zu kommen. Derzeit gibt es das Tool in der Version 2.56 und wurde vor 2 Monaten das letzte mal upgedated.

    Solche Software lade ich selbst natürlich nicht herunter um nachzusehen ob es funktioniert, aber es gibt offenbar jemanden der dieses Paypal Hacker Tool seit vielen Jahren pflegt das man frei über Torrent runter laden kann. Natürlich kann sich hinter solchen Tools auch ein Trojaner oder Virus verbergen, oder sogar ein Tracker und Passwort -Graber der es darauf abgesehen hat das eigene Paypal Konto zu plündern, also ein Hacker Tool welches die Möchtegern-Hacker um ihr eigenes Paypal Geld erleichtert. Die Möchtegern -Diebe werden so gleich selbst zu Bestohlenen.

  7. Onkel Hotte sagt:

    Und ich dachte durch die MFA wäre ich jetzt halbwegs auf der sicheren Seite aber Pustekuchen. Habe dann mal alle Konten und Kreditkarten bei auf ein Girokonto gelöscht. Finde ich unverschämt, das man bei Paypal kein Zahlungslimit festlegen kann. Und wenn man auf Hilfe angewiesen ist, ist man bei denen auch schnell mal verloren.
    Leider, leider gibt es aktuell keine ernstzunehmende Konkurrenz, sonst wäre ich schon seit 5 Jahren draußen.

  8. ThBock sagt:

    Hab’ dann gerade mal mein Bankkonto entfernt.
    Muss ich’s halt wieder aktivieren, wenn ich was kaufen will.

    • Günter Born sagt:

      Ist dir das problemlos gelungen? Bei mir hat sich das nicht löschen lassen.

      Ich habe mir aber heute – nach einem Nächtle drüber schlafen – nochmals die Beschreibung der Sicherheitsforscher in Bezug auf die ungepatchten Sicherheitslücken angesehen. Aktuell halte ich das Risiko für beherrschbar.

      Der Artikel ist aus meiner Sicht wichtig, um a) Öffentlichkeit und Bewusstsein für die Problematik zu schaffen und b) vielleicht Paypal in Richtung offensiveres aufgreifen von solchen Themen zu schieben.

  9. Anzeige

  10. Wolfgang Schneider sagt:

    Habe das Passwort bei mir erfolgreich ändern können, Günter. 20 Zeichen mit 3 Sonderzeichen. Außerdem habe ich dort mal angerufen und mit einem Mitarbeiter reden können. Sie wiegeln das rigoros ab, dass sie nicht gehackt worden sind. Der Knabe sagte mir, es wäre Panikmache im Netz. So in etwa das Passwort.

    #3SaxI6rh%YaT17UeXP%

  11. Peter Müller sagt:

    Password geändert 15 Stellig
    Zweistufigen Login eingerichtet
    Bankkonto entfernt
    Prepaid Kredikarte angehängt (100 CHF ist dort drauf)
    Das sollte wohl reichen oder?

  12. Rheinschwabe sagt:

    Paypal – hat jemand Erfahrung?
    Heute passiert mir was sehr seltsames, bekomme 3 Emails von Paypal dass ich 3 x Motoroenöl (verschiedene Verkäufer + verschiedene Empfänger) bestellt hätte. Melde mich natürlich sofort bei Paypal um die Betrügereien zu melden und mein Geld zurück zu bekommen. Anschließend telefoniere und schreibe ich die Verkäufer (alles Firmen) an, die Ware bitte nicht zu versenden da Betrug. Eine der Empfängeradressen ist eine in meiner Wohnortnähe, rufe den vermeintlichen Empfänger an. Es meldet sich ein netter, älterer Herr der Maurermeister ist. Er sagt mir seine Frau hätte heute Motorenöl bestellt aber natürlich ohne die kriminelle Energie dazu mein Konto zu verwenden. Ich glaube ihm. Was läuft da falsch bei Paypal?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.