Mit einem Trick und einer simplen Manipulation am eigenen Traffic konnten Angreifer die Abfrage des zweiten Sicherheitsfaktors bei PayPal umgehen und Konten so kapern. Die Art, auf die PayPal die Abfrage umgesetzt hatte, war grundsätzlich unsicher.

PayPal hat eine Schwachstelle in seiner Zwei-Faktor-Anmeldung geschlossen, die den zweiten Faktor überflüssig gemacht hatte. Ein Angreifer, der Nutzername und Passwort eines Opfers kannte, konnte so die Kontrolle über das PayPal-Konto übernehmen, ohne Zugang zum Smartphone des Opfers zu haben. Der Lücke lag ein Implementationsfehler zu Grunde, den der Anbieter nun behoben hat.

Weiterlesen auf heise.de
Quelle: heise