Am 16. Mai berichtete Shop-und-Service unter dem Titel „REPORTAGE: PayPal-Sicherheitsschlüssel hat eine Sicherheitslücke!“ über die Tatsache, dass die Kenntnis der Bankkonto-Daten genügt, um den genialen Sicherheitsschlüssel von PayPal auszuhebeln. Details lesen Sie dort nach. Shop-und-Service hatte damals PayPal über den Artikel und die Lücke informiert. PayPal hat reagiert und die Lücke geschlossen!
Mittlerweile wird bei der Funktion, die PayPal für den Fall anbietet, das der kleine Sicherheitsschlüssel defekt oder verloren ist, nicht mehr die Möglichkeit geboten, die Bankkontodaten als Identifizierungsmerkmal einzugeben. Jetzt muss der Benutzer zwei von Ihm zuvor hinterlegte Sicherheitsabfragen beantworten, um an sein PayPal-Account ohne den sechsstelligen Code des Sicherheitsschlüssels zu gelangen.
Bankdaten stehen oft in eBay-Angeboten gewerblicher Händler drin und spätestens ein Scheinkauf mit der Überweisung als gewähltem Zahlungsmittel enthüllt einem Angreifer die Bankkontodaten. Nach einem erfolgreichen Phishing-Angriff wäre es also möglich gewesen, den Account mit Hilfe der Bankdaten zu knacken. Sicher, bevor die Bankdaten zum Einsatz kommen konnten, musste ein Angreifer erst einmal den Benutzernamen und das Passwort erspähen, aber Phishing-Mails in Sachen eBay und PayPal kommen ja en masse.
Durch PayPal sinnvolle Reaktion, die Bankkonto-Daten nicht mehr zur Identifizierung zuzulassen, wurde dieses Risiko jetzt wirkungsvoll eliminiert. Denn die zwei Sicherheitsfragen, die jetzt benötigt werden, um ohne den Schlüssel den Account zu öffnen, sind für Angreifer kaum und wenn nur sehr schwer zu ermitteln. Jetzt ist der kleine graue Schlüsselanhänger von PayPal wieder eine echte Bereicherung in Sachen Sicherheit
Loading ...
