26 juni 2014 15:10

Zwakke plek in dubbele authenticatie Paypal

Een zwakke plek in het systeem van Paypal stelt hackers in staat het dubbele authenticatiesysteem te omzeilen en zo ongeautoriseerde betalingen te verrichten.

Duo Security heeft een zwakke plek gevonden in Paypals dubbele authenticatiesysteem. Hierdoor zijn hackers in staat het beveiligingssysteem te omzeilen om ongeautoriseerde betalingen te maken met een gebruikersaccount.

Volgens het onderzoeksteam van Duo Labs zit de kwetsbaarheid in de authenticatieflow van de Paypal API-webdienst. Deze API wordt gebruikt bij de officiële mobiele apps van het bedrijf zelfs, maar ook door derde partijen.

[related_article id=”161920″]

“Vanaf vandaag (25 juni) heeft Paypal een tijdelijke oplossing toegepast om de impact van de zwakke plek te beperken, en het werkt nu hard aan een definitieve oplossing”, staat in een blogpost te lezen van Duo Security. "In het licht van deze kwetsbaarheid en de eenvoudige manier waarop hij te ontdekken was, hebben wij ervoor gekozen het probleem publiekelijk bekend te maken. Op die manier zijn gebruikers van Paypal het beste op de hoogte van de eventuele risico"s.”

Security Key
Volgens Duo Security heeft een aanvaller slechts de gebruikersnaam en het wachtwoord nodig om toegang te krijgen tot een dubbel beveiligd account en geld te versturen. Hiermee wordt de beveiliging van Paypals Security Key volledig omzeild.

Duo Labs ontdekte dat, hoewel Paypals mobiele apps 2FA (dubbel beveiligde)-accounts niet ondersteunen, het mogelijk was om de apps voor de gek te houden om de 2FA-code te negeren. Dit stelde de hackers in staat om in te loggen zonder de tweede vorm van authenticatie – een code die gestuurd wordt naar de smartphone van de gebruiker of een speciaal beveiligingapparaat ter grootte van een creditcard.

Het beveiligingsonderzoeksteam was in staat door direct met de API van Paypal te communiceren het systeem zover te krijgen dat de mobiele app dacht te maken te hebben met een account zonder de extra 2FA-beveiliging. Hiervoor schreef het team het Python-script. Deze was in staat met twee API-diensten communiceren, eentje om in te loggen en de andere om geld over te maken.

Webinterface
Hoewel de standaard webinterface in je browser niet gevoelig is voor deze hack, kunnen kwaadwillende aanvallers de onderliggende API gebruiken om toch volledige toegang te krijgen.

Een nieuwe poging met het Python-script op 23 juni slaagde niet meer vanwege de tijdelijke oplossing van Paypal. Het is de bedoeling voor eind juli, uiterlijk de 28e, het probleem definitief uit de wereld te helpen.

Geen probleem
In een verklaring op Paypals Forward Community-pagina laat Anuj Naya weten dat ondanks de zwakke plek, alle Paypal-accounts veilig blijven. “Het probleem dat de onderzoekers hebben geïdentificeerd heeft te maken met een extra beveiligingslaag (2FA) die sommige van onze gebruikers hebben toegevoegd aan hun account. Klanten die geen gebruik van maken van de Paypal beveiligingssleutel hebben op geen enkele manier last hiervan.”

“Ook als je wel gekozen hebt voor 2FA blijft je account veilig”, gaat Naya verder. “Het systeem blijft werken zoals het altijd al deed. Hoewel 2FA een extra authenticatielaag is, is Paypal er niet van afhankelijk voor het beschermen van accounts.”

Aanval op eBay
Vorige maand informeerde eBay, het moederbedrijf van Paypal, zijn klanten over een enorme inbreuk op de privacy van de klanten. Op 21 mei is de veilingswebsite slachtoffer geworden van een aanval waarbij een database gekraakt werd zonder financiële gegevens.

Het bedrijf vertelde zijn klanten van wachtwoord te veranderen, ondanks dat er geen enkel bewijs was dat er ongeautoriseerde activiteiten hadden plaatsgevonden in de accounts van de gebruikers.