Onderzoekers: two factor-authenticatie PayPal was eenvoudig te omzeilen

Onderzoekers hebben ontdekt dat de two factor-authenticatie van PayPal triviaal was te omzeilen. Two factor-authenticatie is bedoeld om accounts beter te beveiligen, maar de variant van PayPal bood in de praktijk nauwelijks extra bescherming.

PayPalHet beveiligingsprobleem werd ontdekt door beveiligingsbedrijf Duo Security. Wanneer een PayPal-account two factor-authenticatie heeft ingeschakeld, verstuurt de PayPal-server de variabele '2fa_enabled' met als waarde 'true' mee. Door het verkeer te onderscheppen en die waarde in 'false' te veranderen, kon het proces volledig worden omzeild, ontdekte het bedrijf.

Overigens moet een aanvaller dan nog wel beschikken over de gebruikersnaam en wachtwoord van een PayPal-gebruiker. Die zouden eventueel met een keylogger kunnen worden onderschept, waarna de extra bescherming van two factor-authenticatie is verdwenen. Vervolgens kan een aanvaller op zijn eigen computer een vervalste loginpoging opzetten waarbij de extra loginbescherming wordt omzeild.

De onderzoekers maakten een eigen Python-script dat de kwetsbaarheid misbruikte, waardoor de authenticatie kon worden omzeild en een malafide transactie kon worden opgezet. Dat was nodig omdat de mobiele PayPal-apps nog geen ondersteuning hebben voor accounts met two factor-authenticatie: de variabele '2fa_enabled' is bedoeld om een foutmelding te geven als een gebruiker die de extra loginbescherming heeft ingeschakeld, toch wil inloggen.

PayPal is eind maart op de hoogte gebracht van het beveiligingsprobleem, maar heeft pas afgelopen week een tijdelijke workaround ingesteld die het probleem onmogelijk maakt. Een definitieve oplossing wordt zelfs pas eind juli verwacht.

Door Joost Schellevis

Redacteur

Feedback • 25-06-2014 12:3543

25-06-2014 • 12:35

43 Linkedin

Lees meer

Cisco wil beveiligingsbedrijf Duo Security overnemen voor 2,35 miljard dollar Nieuws van 2 augustus 2018
Kwetsbaarheid maakte uitvoeren van code via PayPal-bevestigingsmails mogelijk Nieuws van 31 maart 2016
PayPal breidt aankoopbescherming vanaf volgend jaar uit Nieuws van 14 november 2014
Ontwikkelaar waarschuwt: iOS-apps kunnen inloggegevens onderscheppen Nieuws van 25 september 2014
Nederlandse Politie en OM starten project om 'bad hosting' aan te pakken Nieuws van 26 juni 2014
Veiligere loginmethode Twitter werkt nu ook in Nederland Nieuws van 7 augustus 2013
Kim Dotcom claimt patent op two-step-authentication Nieuws van 23 mei 2013
Two-step-authentication van Twitter werkt nog niet in Nederland Nieuws van 23 mei 2013
'Twitter introduceert binnenkort two-step-authentication' Nieuws van 24 april 2013
Meer producten en artikelen
Netwerk en systeembeheer Paypal

Reacties (43)

-Moderatie-faq
43
41
22
5
0
11
Wijzig sortering
Mavamaarten
25 juni 2014 14:34
Ik heb zelfs nergens de optie om 2-factor auth aan te zetten. Ik kon wel zo'n kaart met een code bestellen, maar daar moest ik dan nog voor betalen ook...
uip
@Mavamaarten25 juni 2014 23:14
Ik zoek ook al langere tijd een manier om mijn Paypalaccount(s) beter te beveiligen. Absurd dat websites van banken met pasjes werken, en mijn Paypalrekening met een gewone wachtwoord dat bij mij al jarenlang hetzelfde is. Vergeet niet, je PP is rechtstreeks gekoppeld aan mijn bankrekening, en er staat snel paar 100 euro op...
Enai
@uip26 juni 2014 10:17
Ontkoppelen en losgooien. Een nieuwe account aanmaken is niet moeilijk. :)
SinergyX
25 juni 2014 12:37
Tja, weer zo'n randvoorwaarde van een keylogger of user/pass weten van de gebruiker. Ja, methode was simpel te omzeilen, maar het daadwerkelijk 'misbruik' maken was nog steeds zo moeilijk als de normale variant.

Daarbij heb je nog altijd de IP-lock beveiliging, dus moet je ook nog iemand's IP gaan spoofen.
Allowed IP Addresses page enables you to require that all PayPal Manager users log in from computers that you specify; no one can log in from an unauthorized computer.

You restrict access to PayPal Manager to users using authorized computers by specifying the IP addresses (unique identifiers) of the computers.

[Reactie gewijzigd door SinergyX op 25 juni 2014 12:40]

Stoney3K
@SinergyX25 juni 2014 12:39
Tja, weer zo'n randvoorwaarde van een keylogger of user/pass weten van de gebruiker. Ja, methode was simpel te omzeilen, maar het daadwerkelijk 'misbruik' maken was nog steeds zo moeilijk als de normale variant.
Dat is dus precies het punt: Dan voegt two-factor authenticatie niets toe tegenover de 'klassieke' variant van beveiligen.
IStealYourGun
@SinergyX25 juni 2014 12:42
Het idee achter two factor-authenticatie is net een extra laag in het geval dat je wachtwoord gestolen is. Maar in dit geval was dat een vals gevoel omdat het heel makkelijk te omzeilen was.
itsyaboy
@SinergyX25 juni 2014 12:40
Eens, alleen is de toevoeging two factor authenticatie dus een wassen neus. Kan je het net zo goed niet aan bieden? Nu is het schijnveiligheid.
SinergyX
@itsyaboy25 juni 2014 12:42
Mits je het verkeer onderschept en dit uitschakelt, het is niet iets 'simpelweg uit te zetten'.
AndrewBourgeois
@SinergyX25 juni 2014 13:04
Vorig jaar werd mijn PC gehacked en hebben de hackers gewoon via mijn PC een aankoop via PayPal gedaan. Met two-factor authentication (die ik via de site nog steeds niet kan activeren) die goed werkt kan de hacker nog steeds niets want hij/zij heeft de private key die op je smartphone staat niet op een code te genereren.
koku
@AndrewBourgeois25 juni 2014 13:28
Die "private key" heb je dus ook niet nodig als je het verkeer onderschept, dat was juist het hele probleem.
AndrewBourgeois
@koku25 juni 2014 13:46
Ik reageer dan ook op de reactie van SinergyX. Je kan die "flag" wel aanpassen als iemand de controle heeft over de PC van het slachtoffer zoals het bij mij gedurende 12u was. Op een paar uur hadden ze de nodige software in de achtergrond laten draaien, mn mail filters aangepast zodat ik geen PayPal e-mails zou krijgen en een aankoop gedaan zonder dat ik er iets van heb gemerkt.
DLGandalf
@AndrewBourgeois25 juni 2014 13:31
Dit mag inderdaad wel gezegd worden, 2-factor auth kan idd in nederland nog steeds niet met sms of uberhaupt makkelijk aan worden gezet. Wat belachelijk, pas ook nog, opeens een betaling gedaan voor €300+ via paypal waar ik geen weet van had, gelukkig op tijd kunnen annuleren.

Mijn abuse melding konden ze niks mee, omdat ik de betaling had geannuleerd. Toch kreeg ik een enquete aangeboden hoe ik dit scenario was doorgelopen. Ik wou de enquete 2 dagen na de uitnodiging invullen, maar dat was al te laat, deze was reeds verlopen.

Ik zit te denken om mijn paypal rekening te stoppen door dit soort onkundigheid
Anoniem: 26447
@AndrewBourgeois25 juni 2014 17:35
Dan zul je toch ergens op die pc je wachtwoorden hebben staan, want een keylogger zet je nu niet bepaalt makkelijk op een computer, dan moet je toch wel fysiek toegang hebben tot die computer, anders heb je de boel niet goed staan aan beveliging.
Speleding
@SinergyX25 juni 2014 17:53
IP lock zit alleen op PayPal manager van Payflow volgens mij, niet op een gewoon PayPal account
KaasDoosNL
25 juni 2014 12:41
Ik heb de two-factor authenticatie nooit kunnen activeren bij Paypal.
Vandaar dat ik mijn account nu ge-disabled heb ;)
Menesis
@KaasDoosNL25 juni 2014 16:51
Same here. Ik vind het zowiezo maar raar om een bankrekening alleen met emailadres en password te beveiligen. Hun support is ook niks.
AndrewBourgeois
@KaasDoosNL25 juni 2014 13:01
Dat probleem heb ik ook.
En hun "support" antwoordt ook niet als ik hen een e-mail stuur om het te laten activeren.
't is heel erg omslachtig want op de site kan je lezen dat het via je GSM kan en als je dan ingelogd bent om het te activeren staat die optie niet eens in de lijst. Als je op een andere optie klikt krijg je een foutmelding.
uip
@AndrewBourgeois25 juni 2014 23:17
Hun support werkt (bij mij) alvast supergoed hoor. Je moet ze alleen bellen, gewoon mailtjej sturen heb ik nog nooit geprobeerd.
Anoniem: 114278
25 juni 2014 12:41
Deze slordigheid verbaasd mij in het geheel niet.

Als je middels een betaling aan een webshop wordt omgeleid naar PayPal en je betaling gedaan hebt kun je beter weer naar de PayPal site gaan en even uitloggen, gebleken is keer na keer dat PayPal je account niet automatisch uitlogt.
diederikhu
@Anoniem: 11427825 juni 2014 12:46
Zet de optie die zegt dat je ene privé computer gebruikt uit, dan zal je niet ingelogd blijven (als het goed is).

Als je die optie aanzet, dan vind ik het geen gek idee dat PayPal je niet automatisch uitlogt, je gebruikt immers je eigen computer en je gedurende je sessie blijf je dan ook ingelogd.
efari
@diederikhu25 juni 2014 13:05
Meer nog, die staat standaard uit.
Anoniem: 114278
@diederikhu25 juni 2014 14:56
Wel dat mag je vinden maar als je middels een website waar je een aankoop doet wordt door gelinkt naar PayPal om de betaling te doen en vervolgens weer na de betaling gedaan te hebben weer op de website van de verkopende partij komt dan hoort PayPal er gewoon voor te zorgen dat je uitgelogd bent.

Bij iDeal betalingen hoef je na deze hele handeling ook niet naar je bank site te gaan om uit te loggen dat heeft de bank al netjes voor je gedaan en zo hoort het gewoon ook ook ongeacht of je een privé computer gebruikt.

[Reactie gewijzigd door Anoniem: 114278 op 25 juni 2014 14:57]

BlackMage
25 juni 2014 13:05
Dat is wel heel ernstig. Dan heb je een huis met twee deuren, 1 daarvan een 30cm dikke stalen deur met 6 sloten, en de ander een houten deurtje met een briefje erop "graag andere deur gebruiken".
Herko_ter_Horst
@BlackMage25 juni 2014 13:39
Nee, je hebt een huis met een binnenmuur en een buitenmuur en in beide muren een deur. Alleen zit in de buitenmuur een gat, waardoor je die buitenste deur niet door hoeft.
nanoChip
25 juni 2014 13:38
PayPal is eind maart op de hoogte gebracht van het beveiligingsprobleem, maar heeft pas afgelopen week een tijdelijke workaround ingesteld die het probleem onmogelijk maakt. Een definitieve oplossing wordt zelfs pas eind juli verwacht.
Hier draait echt me maag van om. Heeft PayPal de middelen niet om het probleem binnen enkele dagen te verhelpen? Of moeten de programmeurs uit India dit maar oplossen. Desnoods beloon je Duo Security door hun een oplossing aan te laten dragen tegen een acceptabele vergoeding. En huur een derde partij in, indien Duo Security dit niet kan. Maar 3 maanden zoeken naar een tijdelijke oplossing is in mijn optiek onacceptabele.
pegagus
@nanoChip25 juni 2014 13:52
Alleen de tweede laag van de beveiliging is te omzeilen. Die tweede laag kunnen we in NL geeneens gebruiken. Maar er gaat wel meer niet zo lekker daar. Paypal zeurt al maanden of ik mijn gsm il bevestigen. Dat wil ik wel, maar ik heb nog altijd geen code per sms gehad.
NovapaX
25 juni 2014 14:19
Dit verbaast me eigenlijk niets.
Paypal is een grote bende (rommel bedoel ik dan)
Heb recent een betaalsysteem gemaakt met hun API's. Het is al een ramp om de juiste API te kiezen. En dan werkt het vervolgens zo vreselijk onlogisch en omslachtig dat je een complete code-spaghetti overhoud tegen de tijd dat het werkt.

En dan heb je nog het testen... moet je voor de gein eens inloggen op de paypal developer website. Dan heb je twee verschillende sandboxen, en eigenlijk geen normale mogelijkheid om (fout)scenario's te testen. (Je kan dus foutcodes triggeren door bepaalde variabelen een speciale waarde te geven in de communicatie met de API... waarvoor je dus je hele code moet vervuilen met test-rommel)

Kortom: Er werken daar een stel product-engineers en developers waar de tranen van in je ogen springen.

[Reactie gewijzigd door NovapaX op 25 juni 2014 14:21]

pim
@NovapaX25 juni 2014 15:37
Ook het inloggen... "Als het langer dan 5 seconden klik hier"..
Het voelt traag en gedateerd.
Enai
@pim26 juni 2014 09:24
Wat is er mis met die boodschap?

Sites die dit niet doen zijn irritant om mobiel op in te loggen. Je verliest even de verbinding op de trein en daar sta je dan met een eindeloze laadpagina en je moet op refresh klikken en je naam en wachtwoord helemaal opnieuw invoeren. Met een dergelijke link kun je tenminste op de link hameren totdat je terug verbinding hebt.
pim
@Enai26 juni 2014 10:12
De laad pagina zou geskipped moeten worden.
Technisch gezien bestaat er niet zo iets als "bezig met inloggen" want als de database goed in elkaar steekt gebeurd dat in 0.0001 seconde.
Dus na het inloggen ben je:
- direct ingelogd (eventueel met een melding dat het gelukt is)
- niet ingelogd (met een foutmelding)
Enai
@NovapaX26 juni 2014 09:25
Nu ja, Paypal is een dood concept nu iedereen cryptocurrencies kan gebruiken om geld te transfereren.
WokeBroke
25 juni 2014 13:05
ik zit er hard over na te denken om mijn paypal account te verwijderen nadat derptrolling een hele zooi account gegevens verzameld heeft. http://hastebin.com/ifeheyadej.pl het nadeel is dat je bij veel websites niks kan kopen als je geen creditcard hebt.
TERW_DAN
@WokeBroke25 juni 2014 13:14
ik zit er hard over na te denken om mijn paypal account te verwijderen nadat derptrolling een hele zooi account gegevens verzameld heeft. http://hastebin.com/ifeheyadej.pl het nadeel is dat je bij veel websites niks kan kopen als je geen creditcard hebt.
Maar ook met een CC kun je niet overal terecht. Veel dingen via eBay gaan enkel via paypal nog maar, nietmeer via CC.
De reden dat ook al heb ik een CC ik mijn paypal er niet uitgooi. Bovendien staat daar nooit veel op (nu zo'n 60 cent), mocht ik die kwijtraken dan kan ik me over ergere dingen druk maken.
Strijdhagen
25 juni 2014 12:39
Ik zou het fijn vinden als Paypal gewoon Google auth gebruikt. Scheelt weer een extra app/sms op mijn gsm.
calvinturbo
@Strijdhagen25 juni 2014 12:58
Inderdaad.. Zelfs Facebook en Dropbox, concurrenten van Google, zijn in te stellen in Google Authenticator. Waarom PayPal niet?
fifarunnerr
@calvinturbo25 juni 2014 13:24
Google Authenticator is dan ook een open protocol, waarbij onder andere de app gewoon open source is. Vandaar dat er ook voor bv Windows Phone ook een app voor is, gemaakt door een 3rd party developer.


Meer info: https://code.google.com/p/google-authenticator/
Sebazzz
@fifarunnerr25 juni 2014 13:29
Microsoft Verificator is ook een implementatie hiervan.
Anoniem: 359485
@calvinturbo26 juni 2014 09:40
Nee dat is lekker veilig. Two-step authentication moet er juist voor zorgen dat je niet eenvoudig kan inloggen als je niet bent wie je zegt. M.a.w. je hebt een telefoon of een secundair e-mailadres nodig. Omslachtig, maar wel veiliger.
wpoely86
@Strijdhagen25 juni 2014 12:42
Ja maar met deze 'truck' maakt het niet uit welk systeem ze gebruiken. Je kunt het gewoon afzetten.
keranoz
25 juni 2014 12:38
Way to go Paypal. Tot nu toe was de hele 2 factor authenticatie dus gewoon schijnveiligheid.
Ben benieuwd of er meer van dit soort foutjes aanwezig zijn.

[Reactie gewijzigd door keranoz op 25 juni 2014 12:40]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee