{"id":228341,"date":"2020-02-17T19:00:05","date_gmt":"2020-02-17T18:00:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228341"},"modified":"2022-09-08T22:16:17","modified_gmt":"2022-09-08T20:16:17","slug":"patzt-paypal-bei-der-sicherheit-schwachstellen-ungefixt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/17\/patzt-paypal-bei-der-sicherheit-schwachstellen-ungefixt\/","title":{"rendered":"Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt"},"content":{"rendered":"

[English<\/a>]Beunruhigende Geschichte, die mir gerade von Sicherheitsanalysten zugegangen ist. Der Anbieter PayPal hat seit einem Monat Sicherheitsl\u00fccken in seinem System, die im Januar 2020 gemeldet, bisher aber nicht behoben sind. Hacker k\u00f6nnen diese missbrauchen, um PayPal- und Bankkonten abzur\u00e4umen. Zudem erreichen mich seit ungef\u00e4hr 14 Tagen Mails von Nutzern, dass ihre PayPal-Konten missbraucht w\u00fcrden.<\/p>\n

<\/p>\n

Meldungen \u00fcber PayPal-Hacks<\/h2>\n

\"\"Hier im Blog hatte ich k\u00fcrzlich im Artikel Massen-Newsletter-Spam und der Paypal-Konten-Hack<\/a> \u00fcber einen PayPal-Hack berichtet. Einem Kunden gingen tausende Anmeldungen f\u00fcr Newsletter zu. Am Ende des Tages stellte sich heraus, dass dessen PayPal-Konto gehackt und dann auf dessen Rechnung bestellt worden war. In den Kommentaren hat sich ein weiterer Betroffener gemeldet. Heute traf bei mir eine E-Mail von Blog-Leser Michael P. ein, der mir folgendes berichtete:<\/p>\n

hast du evtl. Kenntnis dar\u00fcber, dass momentan wieder eine Masche aktiv
\nist, wo Scammer gehackte Paypal Accounts nutzen und bei CD-Keys
\nPlaystation Network-Karten kaufen?<\/p>\n

Ein Freund von mir hat vor ein paar Stunden eine E-Mail von Paypal (bzw.
\neine Benachrichtigung \u00fcber deren App) \u00fcber die Transaktion bekommen. Er hat keine PS4 und die Karte hat er genauso wenig gekauft. Auch wei\u00df er
\nnicht, woher derjenige seinen Paypal Account her hat.<\/p><\/blockquote>\n

Michael P. hat dann recherchiert und gesehen, dass es diese Masche wohl schon seit 2018
\nzu geben scheint. Michael hat mir einen Link auf das PayPal-Forum gepostet. Auf Seite 3<\/a> h\u00e4ufen sich die Meldungen von Betroffenen im Januar 2020. Da gibt es wohl jemanden, der am 27.01.20 eine Meldung abgesetzt hat. Diese Einzelf\u00e4lle ergaben schon ein Bild, das da was im Busch ist. Die Frage: Wie kommen die Cyber-Kriminellen an die PayPal-Konten?<\/p>\n

Seit letztem Jahr gibt es noch die PayPal-Betrugsmasche \u00fcber eBay-Kleinanzeigen, wo Leute \u00fcber Dreiecksgesch\u00e4fte abgezockt werden. Verk\u00e4ufer 1 bietet Ware an, die ein K\u00e4ufer (2) erwirbt. Diese setzt seinerseits eine \u00e4hnliche, aber fingierte, Kleinanzeige auf, und l\u00e4sst sich von einem dritten K\u00e4ufer per PayPal zahlen. Dabei gibt er aber die PayPal-Adresse von Verk\u00e4ufer 1 an. Dieser erh\u00e4lt sein Geld und r\u00fcckt die Ware an den K\u00e4ufer (2) heraus. Der K\u00e4ufer verschwindet, ohne Nutzer 3 die bezahlte Ware zu \u00fcbersenden. Der reklamiert bei PayPal, worauf der Betrag vom Verk\u00e4ufer zur\u00fcckgebucht wird. Der bekommt also kein Geld und ist seine Ware los. Details sind z.B. bei SWR 3 hier<\/a> (und bei Chip hier<\/a>) erkl\u00e4rt. Hat aber wohl mit obigen F\u00e4llen nichts zu tun.<\/p><\/blockquote>\n

Nicht geschlossene PayPal-Schwachstellen<\/h2>\n

Eben erreichte mich eine Mail von CyberNews, die m\u00f6glicherweise ein Puzzleteil im Bild, warum die PayPal-Accounts gehackt werden konnten, liefert. Die Sicherheitsanalysten sitzen in Vilnius und scheinen sich auch \u00fcber BugBouty-Programme von Firmen zu finanzieren. Deren Sicherheitsexperten sind einer ziemlichen Sauerei, und dies in doppelter Form, auf die Spur gekommen, wenn die Informationen zutreffen. Die Experten warnen PayPal-Kunden vor Sicherheitsm\u00e4ngeln, die der Plattform vor fast einem Monat gemeldet, aber bisher nicht geschlossen wurden. Zudem hat es den Anschein, dass sie auch noch um die Bug-Bounty-Pr\u00e4mien geprellt worden sein k\u00f6nnten.<\/p>\n

Betrug an Ethical-Hackern?<\/h3>\n

Im Mittelpunkt des Problems steht, nach den Aussagen von CyberNews, das Bug Bounty- und \"Ethical Hacking\"-Programm, das von HackerOne (www.HackerOne.com) f\u00fcr PayPal und zahlreiche andere gro\u00dfe Unternehmen und Regierungsbeh\u00f6rden in den USA und Europa betrieben wird. Solche Programme sollten Hacker daf\u00fcr belohnen, dass sie Unternehmen auf Schwachstellen aufmerksam machen. Gro\u00dfe Firmen wie Google etc. nutzen dies, damit Hacker Schwachstellen melden. Eigentlich eine gute Sache, wie ich finde.<\/p>\n

Die Erfahrung der Analysten von CyberNews zeigen jedoch die Schattenseiten bzw. die Bef\u00fcrchtungen, dass einige Unternehmen sich um Auszahlungen von Bug-Bounty-Pr\u00e4mien dr\u00fccken. Und es gibt den Verdacht der Hacker-Community, dass gemeldete Bugs von den Gutachtern der Plattformen wie HackerOne mehr oder weniger kassiert werden, um die Bug-Bounty-Pr\u00e4mie f\u00fcr sich selbst zu beanspruchen.<\/p>\n

Smoking Gun bei PayPal-Schwachstellen?<\/h3>\n

Im j\u00fcngsten Fall haben die Analysten von CyberNews PayPal wohl so etwas wie einen rauchenden Colt f\u00fcr die obigen Verd\u00e4chtigungen gefunden. Die Analysten meldeten Paypal \u00fcber das von HackerOne betriebene Bug Bounty-Programm erstmals in der ersten Januarh\u00e4lfte sechs Schwachstellen.<\/p>\n