Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Onderzoekers hebben ontdekt dat de two factor-authenticatie van PayPal triviaal was te omzeilen. Two factor-authenticatie is bedoeld om accounts beter te beveiligen, maar de variant van PayPal bood in de praktijk nauwelijks extra bescherming.

PayPalHet beveiligingsprobleem werd ontdekt door beveiligingsbedrijf Duo Security. Wanneer een PayPal-account two factor-authenticatie heeft ingeschakeld, verstuurt de PayPal-server de variabele '2fa_enabled' met als waarde 'true' mee. Door het verkeer te onderscheppen en die waarde in 'false' te veranderen, kon het proces volledig worden omzeild, ontdekte het bedrijf.

Overigens moet een aanvaller dan nog wel beschikken over de gebruikersnaam en wachtwoord van een PayPal-gebruiker. Die zouden eventueel met een keylogger kunnen worden onderschept, waarna de extra bescherming van two factor-authenticatie is verdwenen. Vervolgens kan een aanvaller op zijn eigen computer een vervalste loginpoging opzetten waarbij de extra loginbescherming wordt omzeild.

De onderzoekers maakten een eigen Python-script dat de kwetsbaarheid misbruikte, waardoor de authenticatie kon worden omzeild en een malafide transactie kon worden opgezet. Dat was nodig omdat de mobiele PayPal-apps nog geen ondersteuning hebben voor accounts met two factor-authenticatie: de variabele '2fa_enabled' is bedoeld om een foutmelding te geven als een gebruiker die de extra loginbescherming heeft ingeschakeld, toch wil inloggen.

PayPal is eind maart op de hoogte gebracht van het beveiligingsprobleem, maar heeft pas afgelopen week een tijdelijke workaround ingesteld die het probleem onmogelijk maakt. Een definitieve oplossing wordt zelfs pas eind juli verwacht.

Moderatie-faq Wijzig weergave

Reacties (43)

Ik heb zelfs nergens de optie om 2-factor auth aan te zetten. Ik kon wel zo'n kaart met een code bestellen, maar daar moest ik dan nog voor betalen ook...
Ik zoek ook al langere tijd een manier om mijn Paypalaccount(s) beter te beveiligen. Absurd dat websites van banken met pasjes werken, en mijn Paypalrekening met een gewone wachtwoord dat bij mij al jarenlang hetzelfde is. Vergeet niet, je PP is rechtstreeks gekoppeld aan mijn bankrekening, en er staat snel paar 100 euro op...
Ontkoppelen en losgooien. Een nieuwe account aanmaken is niet moeilijk. :)
Tja, weer zo'n randvoorwaarde van een keylogger of user/pass weten van de gebruiker. Ja, methode was simpel te omzeilen, maar het daadwerkelijk 'misbruik' maken was nog steeds zo moeilijk als de normale variant.

Daarbij heb je nog altijd de IP-lock beveiliging, dus moet je ook nog iemand's IP gaan spoofen.
Allowed IP Addresses page enables you to require that all PayPal Manager users log in from computers that you specify; no one can log in from an unauthorized computer.

You restrict access to PayPal Manager to users using authorized computers by specifying the IP addresses (unique identifiers) of the computers.

[Reactie gewijzigd door SinergyX op 25 juni 2014 12:40]

Tja, weer zo'n randvoorwaarde van een keylogger of user/pass weten van de gebruiker. Ja, methode was simpel te omzeilen, maar het daadwerkelijk 'misbruik' maken was nog steeds zo moeilijk als de normale variant.
Dat is dus precies het punt: Dan voegt two-factor authenticatie niets toe tegenover de 'klassieke' variant van beveiligen.
Het idee achter two factor-authenticatie is net een extra laag in het geval dat je wachtwoord gestolen is. Maar in dit geval was dat een vals gevoel omdat het heel makkelijk te omzeilen was.
Eens, alleen is de toevoeging two factor authenticatie dus een wassen neus. Kan je het net zo goed niet aan bieden? Nu is het schijnveiligheid.
Mits je het verkeer onderschept en dit uitschakelt, het is niet iets 'simpelweg uit te zetten'.
Vorig jaar werd mijn PC gehacked en hebben de hackers gewoon via mijn PC een aankoop via PayPal gedaan. Met two-factor authentication (die ik via de site nog steeds niet kan activeren) die goed werkt kan de hacker nog steeds niets want hij/zij heeft de private key die op je smartphone staat niet op een code te genereren.
Die "private key" heb je dus ook niet nodig als je het verkeer onderschept, dat was juist het hele probleem.
Ik reageer dan ook op de reactie van SinergyX. Je kan die "flag" wel aanpassen als iemand de controle heeft over de PC van het slachtoffer zoals het bij mij gedurende 12u was. Op een paar uur hadden ze de nodige software in de achtergrond laten draaien, mn mail filters aangepast zodat ik geen PayPal e-mails zou krijgen en een aankoop gedaan zonder dat ik er iets van heb gemerkt.
Dit mag inderdaad wel gezegd worden, 2-factor auth kan idd in nederland nog steeds niet met sms of uberhaupt makkelijk aan worden gezet. Wat belachelijk, pas ook nog, opeens een betaling gedaan voor ¤300+ via paypal waar ik geen weet van had, gelukkig op tijd kunnen annuleren.

Mijn abuse melding konden ze niks mee, omdat ik de betaling had geannuleerd. Toch kreeg ik een enquete aangeboden hoe ik dit scenario was doorgelopen. Ik wou de enquete 2 dagen na de uitnodiging invullen, maar dat was al te laat, deze was reeds verlopen.

Ik zit te denken om mijn paypal rekening te stoppen door dit soort onkundigheid
Dan zul je toch ergens op die pc je wachtwoorden hebben staan, want een keylogger zet je nu niet bepaalt makkelijk op een computer, dan moet je toch wel fysiek toegang hebben tot die computer, anders heb je de boel niet goed staan aan beveliging.
IP lock zit alleen op PayPal manager van Payflow volgens mij, niet op een gewoon PayPal account
Ik heb de two-factor authenticatie nooit kunnen activeren bij Paypal.
Vandaar dat ik mijn account nu ge-disabled heb ;)
Same here. Ik vind het zowiezo maar raar om een bankrekening alleen met emailadres en password te beveiligen. Hun support is ook niks.
Dat probleem heb ik ook.
En hun "support" antwoordt ook niet als ik hen een e-mail stuur om het te laten activeren.
't is heel erg omslachtig want op de site kan je lezen dat het via je GSM kan en als je dan ingelogd bent om het te activeren staat die optie niet eens in de lijst. Als je op een andere optie klikt krijg je een foutmelding.
Hun support werkt (bij mij) alvast supergoed hoor. Je moet ze alleen bellen, gewoon mailtjej sturen heb ik nog nooit geprobeerd.
Deze slordigheid verbaasd mij in het geheel niet.

Als je middels een betaling aan een webshop wordt omgeleid naar PayPal en je betaling gedaan hebt kun je beter weer naar de PayPal site gaan en even uitloggen, gebleken is keer na keer dat PayPal je account niet automatisch uitlogt.
Zet de optie die zegt dat je ene privé computer gebruikt uit, dan zal je niet ingelogd blijven (als het goed is).

Als je die optie aanzet, dan vind ik het geen gek idee dat PayPal je niet automatisch uitlogt, je gebruikt immers je eigen computer en je gedurende je sessie blijf je dan ook ingelogd.
Meer nog, die staat standaard uit.
Wel dat mag je vinden maar als je middels een website waar je een aankoop doet wordt door gelinkt naar PayPal om de betaling te doen en vervolgens weer na de betaling gedaan te hebben weer op de website van de verkopende partij komt dan hoort PayPal er gewoon voor te zorgen dat je uitgelogd bent.

Bij iDeal betalingen hoef je na deze hele handeling ook niet naar je bank site te gaan om uit te loggen dat heeft de bank al netjes voor je gedaan en zo hoort het gewoon ook ook ongeacht of je een privé computer gebruikt.

[Reactie gewijzigd door Kees de Jong op 25 juni 2014 14:57]

Dat is wel heel ernstig. Dan heb je een huis met twee deuren, 1 daarvan een 30cm dikke stalen deur met 6 sloten, en de ander een houten deurtje met een briefje erop "graag andere deur gebruiken".
Nee, je hebt een huis met een binnenmuur en een buitenmuur en in beide muren een deur. Alleen zit in de buitenmuur een gat, waardoor je die buitenste deur niet door hoeft.
PayPal is eind maart op de hoogte gebracht van het beveiligingsprobleem, maar heeft pas afgelopen week een tijdelijke workaround ingesteld die het probleem onmogelijk maakt. Een definitieve oplossing wordt zelfs pas eind juli verwacht.
Hier draait echt me maag van om. Heeft PayPal de middelen niet om het probleem binnen enkele dagen te verhelpen? Of moeten de programmeurs uit India dit maar oplossen. Desnoods beloon je Duo Security door hun een oplossing aan te laten dragen tegen een acceptabele vergoeding. En huur een derde partij in, indien Duo Security dit niet kan. Maar 3 maanden zoeken naar een tijdelijke oplossing is in mijn optiek onacceptabele.
Alleen de tweede laag van de beveiliging is te omzeilen. Die tweede laag kunnen we in NL geeneens gebruiken. Maar er gaat wel meer niet zo lekker daar. Paypal zeurt al maanden of ik mijn gsm il bevestigen. Dat wil ik wel, maar ik heb nog altijd geen code per sms gehad.
Dit verbaast me eigenlijk niets.
Paypal is een grote bende (rommel bedoel ik dan)
Heb recent een betaalsysteem gemaakt met hun API's. Het is al een ramp om de juiste API te kiezen. En dan werkt het vervolgens zo vreselijk onlogisch en omslachtig dat je een complete code-spaghetti overhoud tegen de tijd dat het werkt.

En dan heb je nog het testen... moet je voor de gein eens inloggen op de paypal developer website. Dan heb je twee verschillende sandboxen, en eigenlijk geen normale mogelijkheid om (fout)scenario's te testen. (Je kan dus foutcodes triggeren door bepaalde variabelen een speciale waarde te geven in de communicatie met de API... waarvoor je dus je hele code moet vervuilen met test-rommel)

Kortom: Er werken daar een stel product-engineers en developers waar de tranen van in je ogen springen.

[Reactie gewijzigd door NovapaX op 25 juni 2014 14:21]

Ook het inloggen... "Als het langer dan 5 seconden klik hier"..
Het voelt traag en gedateerd.
Wat is er mis met die boodschap?

Sites die dit niet doen zijn irritant om mobiel op in te loggen. Je verliest even de verbinding op de trein en daar sta je dan met een eindeloze laadpagina en je moet op refresh klikken en je naam en wachtwoord helemaal opnieuw invoeren. Met een dergelijke link kun je tenminste op de link hameren totdat je terug verbinding hebt.
De laad pagina zou geskipped moeten worden.
Technisch gezien bestaat er niet zo iets als "bezig met inloggen" want als de database goed in elkaar steekt gebeurd dat in 0.0001 seconde.
Dus na het inloggen ben je:
- direct ingelogd (eventueel met een melding dat het gelukt is)
- niet ingelogd (met een foutmelding)
Nu ja, Paypal is een dood concept nu iedereen cryptocurrencies kan gebruiken om geld te transfereren.
ik zit er hard over na te denken om mijn paypal account te verwijderen nadat derptrolling een hele zooi account gegevens verzameld heeft. http://hastebin.com/ifeheyadej.pl het nadeel is dat je bij veel websites niks kan kopen als je geen creditcard hebt.
ik zit er hard over na te denken om mijn paypal account te verwijderen nadat derptrolling een hele zooi account gegevens verzameld heeft. http://hastebin.com/ifeheyadej.pl het nadeel is dat je bij veel websites niks kan kopen als je geen creditcard hebt.
Maar ook met een CC kun je niet overal terecht. Veel dingen via eBay gaan enkel via paypal nog maar, nietmeer via CC.
De reden dat ook al heb ik een CC ik mijn paypal er niet uitgooi. Bovendien staat daar nooit veel op (nu zo'n 60 cent), mocht ik die kwijtraken dan kan ik me over ergere dingen druk maken.
Ik zou het fijn vinden als Paypal gewoon Google auth gebruikt. Scheelt weer een extra app/sms op mijn gsm.
Inderdaad.. Zelfs Facebook en Dropbox, concurrenten van Google, zijn in te stellen in Google Authenticator. Waarom PayPal niet?
Google Authenticator is dan ook een open protocol, waarbij onder andere de app gewoon open source is. Vandaar dat er ook voor bv Windows Phone ook een app voor is, gemaakt door een 3rd party developer.


Meer info: https://code.google.com/p/google-authenticator/
Microsoft Verificator is ook een implementatie hiervan.
Nee dat is lekker veilig. Two-step authentication moet er juist voor zorgen dat je niet eenvoudig kan inloggen als je niet bent wie je zegt. M.a.w. je hebt een telefoon of een secundair e-mailadres nodig. Omslachtig, maar wel veiliger.
Ja maar met deze 'truck' maakt het niet uit welk systeem ze gebruiken. Je kunt het gewoon afzetten.
Way to go Paypal. Tot nu toe was de hele 2 factor authenticatie dus gewoon schijnveiligheid.
Ben benieuwd of er meer van dit soort foutjes aanwezig zijn.

[Reactie gewijzigd door KeRaNoZ op 25 juni 2014 12:40]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True