Die Nachlässigkeit von PayPal-Nutzern, die es ihnen erlaubten, ihr Konto und Geld zu stehlen [Behoben]

Guten Tag, liebe Kollegen!

Ich bin ein Nutzer des beliebten Zahlungsdienstes PayPal. In Kombination bin ich außerdem Spezialist für technische Sicherheit im Bereich des Schutzes personenbezogener Daten. Ich möchte Ihnen mitteilen, wie ich eine Sicherheitslücke im System entdeckt habe, die es mir ermöglicht hat, mich in ein PayPal-Benutzerkonto einzuloggen, eine unauffällige Kennwortänderung vorzunehmen und den Zugang zum persönlichen Konto des Kunden ohne dessen Wissen zu öffnen, um Geld abzuheben.



Also, lasst uns anfangen ...

Zunächst bin ich teilweise ein Freiberufler, der seine Auszeichnung über den PayPal-Service erhält. Und als ich zu Hause saß und noch einmal die Einnahmen von meinem Mobiltelefon auf mein PayPal-Konto überprüfte, hatte ich ein Problem beim Zugriff auf mein persönliches Konto. Ich habe das Authentifizierungssystem sehr oft über Touch ID verwendet, meinen Finger gesteckt und auf das persönliche Konto des Dienstes zugegriffen. Aber dieses Mal fiel aus irgendeinem Grund die Touch-ID auf meinem Mobiltelefon ab und ich musste mich an das übliche Passwort erinnern, was eine Menge Probleme bereitete, da es kompliziert ist und nicht über das Mobilgerät eingegeben werden kann. Nach einigen erfolglosen Versuchen, sich das richtige Passwort zu merken, entschied ich mich für das Passwortwiederherstellungssystem und hier beginnt der Spaß! :)

Tatsache ist, dass PayPal, wie alle heute verbreiteten Dienste, über ein Passwortwiederherstellungssystem verfügt und es sehr multidirektional ist - wir können das Passwort per Post wiederherstellen und die Post unseres Kontos angeben, wir können die Antwort auf die Sicherheitsfrage angeben ... Aber ich war an dieser Option interessiert Stellen Sie den Zugriff auf Ihr Konto mit einer "Kreditkarte" wieder her .


Foto 1 - Optionen zum Wiederherstellen des Zugriffs auf Ihr PayPal-Konto
(Die obigen Screenshots zeigen das Feld zum Wiederherstellen des Zugriffs auf das Konto über verschiedene Optionen.)

Warum ist dieser Moment so verliebt in mich? Nun, weil ich weiß, wie die Menschen, zumindest in Russland, mit ihren persönlichen Daten umgehen und nicht verstehen, welche von ihnen im Internet veröffentlicht werden können und welche nicht! Nachdem ich das verstanden hatte, entschloss ich mich, ein Experiment durchzuführen und herauszufinden, was dies für den Kunden bedeuten könnte - direkt für mich und andere Benutzer des PayPal-Zahlungsdienstes.

Um den Zugang zu Ihrem Konto über die Bankkartennummer wiederherzustellen, zeigt der Dienst uns die letzten 2 Ziffern der Kartennummer an. Es stellt sich die logische Frage: Wie kann ich die vollständige Nummer der Bankkarte eines Kunden herausfinden? Und hier helfen uns verschiedene Bankdienstleistungen für Online-Zahlungen (wir sprechen nicht über die Nachlässigkeit von Personen, die ihre persönlichen Daten hinterlassen). Wovon redest du Ich meine die Anwendungen von Banken, die Leute auf ihren Handys installieren, zum Beispiel die Anwendung „Sberbank Online“, „VTB“ und andere. Wie kann dies einem Angreifer helfen? Das Telefon des potenziellen Opfers kennen - wir können durch die Anwendung die Bankkartennummer des Besitzers dieses Telefons teilweise durchbrechen. Der freundliche Service der Bank zeigt uns den „Namen“ und den „zweiten Vornamen“ des Karteninhabers sowie seine Kartennummer, von denen einige mit Sternchen versehen sind.

PS: Meiner Meinung nach war ich bereits 2018 oder Anfang 2019 alarmiert, dass die VTB Bank in ihren Terminals auch die persönlichen Daten des Kunden teilweise offenlegte, wenn Sie die gefundene Kreditkarte in das Terminal einführten, das Passwort „vom Bulldozer“ eingaben und Das Terminalfenster würde die Begrüßung "Hallo, Nachname, Vorname, Patronym!" anzeigen. Diese Tatsache machte mich darauf aufmerksam.

Foto 1 - Sberbank Online-Bewerbung
(Oben sind Screenshots von Sberbank, VTB-Anwendungen, die teilweise Informationen über den Namen des Kunden und seine Kartennummer enthalten.)



(Oben ist ein Screenshot der Suche nach Informationen in Suchmaschinen / sozialen Netzwerken)
Aber ohne es. Diese Menge an Informationen hilft uns, ein potenzielles Opfer mithilfe einer Internetsuche, betrügerischer Websites oder gewöhnlicher menschlicher Nachlässigkeit und Leichtgläubigkeit zu identifizieren.

Deshalb reizt mich dieser Moment. Stellen Sie sich einen Angreifer vor, der sich als Kunde ausgibt und eine Website entwickeln muss. Er sucht einen Freiberufler über eine beliebte Plattform. Er schreibt an den Freiberufler und bietet ihm seine Konditionen an, zum Beispiel bietet er an, ihm Arbeit sofort zu bezahlen, fragt aber im Gegenzug nach einer Bankkartennummer für die Überweisung von Geld. Das ist eine normale Situation. Nachdem der Angreifer die Bankkartennummer in voller „Größe“ erhalten hat, bleibt ihm nur noch eines: Er muss herausfinden, unter welcher E-Mail das Konto des Freiberuflers registriert ist. Dazu muss ein Angreifer lediglich die E-Mail-Adresse des Opfers über den Link zur Wiederherstellung des Zugriffs angeben und sicherstellen, dass der Dienst seine E-Mail-Adresse gesehen hat. Anschließend wählen wir einfach die Option aus, den Zugriff auf das Konto des Opfers nicht per E-Mail, sondern durch Eingabe einer Bankkartennummer und ... Und wir erhalten Voller Zugriff auf Ihr PayPal-Kundenkonto!


Foto 1 - Überprüfen Sie, ob sich die empfangene E-Mail im PayPal-System befindet
Foto 1.1 - siehe Bestätigung oder siehe Systemfehler


Foto 2 - Ändern Sie die Wiederherstellungsmethode von E-Mail in eine Bankkartennummer


Foto 2.1 - Wir stellen sicher, dass die vom Opfer angegebene Kartennummer mit der im Konto für die letzten 2-4 Zeichen verknüpften übereinstimmt.
(Das Obige ist ein Beispiel dafür, wie Sie die Korrespondenz einer E-Mail und die Bindung einer von einem Freiberufler angegebenen Bankkarte daran identifizieren können.)

Nachdem der Angreifer davon überzeugt ist, dass diese Daten ausreichen und den Angaben des PayPal-Dienstes entsprechen, meldet er sich einfach im System an und setzt gleichzeitig sein Passwort. Alle diese Aktionen werden jedoch nicht in der E-Mail des Opfers angezeigt. Anscheinend ist der Dienst der Ansicht, dass der Kunde, der die Kartennummer angibt, zu 100% nicht Angreifer ist und einfach keine Informationen zum Ändern des Kennworts an die E-Mail sendet. Dies ist mit Konsequenzen behaftet.


Foto 1 - Rufen Sie das System auf, um den Zugriff auf Ihr PayPal-Konto wiederherzustellen


Foto 2 - Wir geben die Methode der Wiederherstellung durch Bankkartennummer an


Foto 3 - Geben Sie die Bankkartennummer ein


Foto 4 - Ändern Sie das Passwort Ihres PayPal-Kontos


Foto 5 - Wir gehen auf das PayPal-Konto eines potenziellen Opfers
(Die Screenshots zeigen die Schritte für den freien Zugriff auf Ihr PayPal-Konto.)

FERTIG! Für einen solchen "Hack" mussten keine zusätzlichen Mittel eingesetzt werden. Alle Informationen werden entweder durch Standarddienste oder einfach aus offenen Quellen = (

Wie Sie problemlos sehen können, konnten wir uns nur mit Informationen und Diensten aus offenen Quellen in das Konto des PayPal-Zahlungssystembenutzers einloggen, sein Konto einsehen und Informationen zu Belegen (von wo, wie viel und wann) abrufen, die durch Bankgeschäfte geschützt werden sollten ein Geheimnis. Ohne das Wissen des Kontoinhabers konnten wir sein Passwort ändern.

Wir konnten auch auf die Benutzerprofileinstellungen zugreifen, und in diesen Einstellungen können wir die persönlichen Daten des Kunden sehen, in dem er lebt, und vor allem können wir die E-Mail-Adresse des Kontos ändern, an das Benachrichtigungen über Überweisungen gesendet werden. Ja, natürlich kann man nicht darauf verzichten, die Hauptmail des Besitzers zu verunreinigen - ansonsten kann er den Brief des Systems sehen, der besagt, dass sein Hauptlogin auf einen anderen geändert wurde, aber aufgrund von Spam wird dies möglicherweise nicht bemerkt, oder?

Wenn wir die E-Mail des Kontos ändern, in diesem Fall, wenn der Betrüger das Geld des Opfers auf ein anderes Konto des Dienstes abhebt / überweist - eine Benachrichtigung des Systems mit der Aufschrift „Hallo, Kunde! Wir überweisen Geld auf ein anderes Konto ... in Höhe von ... "Nur wir werden sehen, und das Opfer wird nicht wissen, dass sein Geld verloren gegangen ist, bis er versucht, auf sein Konto einzuzahlen, dass er nicht sofort Erfolg haben wird, bis dahin könnte das Geld bereits vorhanden sein aus dem System auf betrügerische Betrugskonten gezogen.

Warum mache ich mir wegen dieses Problems solche Sorgen? Ja, ich bin mir bewusst, dass Personen, die über eine große Anzahl von PayPal-Konten verfügen können, Informationen über ihre persönlichen Daten mit höherer Wahrscheinlichkeit schützen, wissen, wie sie gespeichert werden und welche Gesetze sie schützen, um in diesen Unternehmen tätig zu werden Sie können diese Daten möglicherweise auf irgendeine Weise im Internet "beleuchten" oder an 3 Personen weiterleiten, die diese Daten dann möglicherweise weitergeben ... Ja, ich stimme Ihnen vollkommen zu. Bei näherer Betrachtung wird das PayPal-System jedoch von vielen Menschen verwendet, die einfach und nicht ganz mit der Informationstechnologie befreundet sind - es gibt nur dringende Umstände, die erfordern, dass sie ein Konto erstellen und dafür Geld erhalten.

Als ich herausfand, wie ich die erforderlichen E-Mail-Adressen, Handynummern, Bankkartennummern ... identifizieren kann, haben Sie es nicht geglaubt. Irgendwann habe ich einfach eine Suchanfrage in das folgende beliebte soziale Netzwerk gestellt: "E-Mail an PayPal-Banknummer." Karten “und in den Suchergebnissen habe ich Hunderte solcher Daten erhalten, die Angreifer einfach nehmen, kopieren, einfügen und das oben beschriebene Hacking-Schema verwenden können.


Foto 1 - Geben Sie die Anfrage in das Such-Werbenetzwerk in VKontakte ein. Ich werde den Rest der Screenshots nicht posten - du kannst es dir selbst anschauen. Ich glaube nicht, dass nur Einwohner Russlands eine so einfache Einstellung zu ihren persönlichen Daten haben, ich glaube, dass andere Länder das gleiche Problem haben ...

(Die Screenshots zeigen, wie viele Informationen mit spezifischen Details zu Konten, Karten und E-Mails einfach und problemlos aus offenen Quellen im Internet abgerufen werden können.)

Die meisten dieser Daten werden ohne zu zögern von Personen veröffentlicht, die Spenden für die Behandlung ihrer Kinder, Verwandten und geliebten Haustiere sammeln. Diese Leute, und das ist verständlich, denken nicht an die Sicherheit ihres PayPal-Kontos - für sie ist Lebensrettung an erster Stelle. Wenn ich das verstehe, sollte der PayPal-Dienst meiner Meinung nach den Ansatz zur Wiederherstellung des Zugriffs auf ein Konto ändern, indem er eine Bankkartennummer angibt. Zusätzlich zur Bankkartennummer ist es ratsam, eine Anfrage mit einem "Code" an die Mail oder das Telefon des Kunden zu senden.
Dies hilft bei der Identifizierung von Versuchen von Betrügern, auf Ihr Konto zuzugreifen. Es ist sogar möglich, aktuelle Betrüger zu identifizieren (falls dies eine Überraschung für sie ist und ihre Aktionen nachverfolgt werden können).

Was Benutzer tun sollten, um die Sicherheit von PayPal-Benutzern zu verbessern:

1. Aktivieren Sie die Zwei-Faktor-Autorisierung in Ihrem Konto.
2. Veröffentlichen Sie die Kartennummern und E-Mails, die mit Ihrem PayPal-Konto verknüpft sind, nicht öffentlich im Internet.
3. Veröffentlichen Sie Ihre persönlichen Daten nicht in sozialen Netzwerken, Foren und Instant Messenger.
4. Verwenden Sie die E-Mail-Adresse, die mit Ausnahme von PayPal nirgends angegeben wurde (niemand außer Ihnen kennt sie).

Was soll der Dienst tun, um die Sicherheit der PayPal-Benutzer zu erhöhen?

1. Wenn Sie die Funktion zum Wiederherstellen des Zugriffs auf ein Konto durch Angabe einer Bankkarte verwenden, müssen Sie zusätzlich einen Bestätigungscode an die E-Mail-Adresse des Kunden oder an eine Mobiltelefonnummer senden, nach deren Bestätigung das Kennwort bereits in ein neues geändert werden darf.
2. Informieren Sie den Client über den Versuch, das Kennwort vom Konto in Mail zu ändern.
3. Um den Kunden über Änderungen im Konto zu informieren - einschließlich Informationen über die Änderung der E-Mail-Adresse, des Namens und der Details.

Dieser Bericht wurde am 31. Dezember 2019 verfasst. Seit dem 26. Dezember gab es erfolglose Versuche, den PayPal-Support-Service zu kontaktieren. Ich habe nur eine Abmeldeantwort erhalten, die von Fachleuten der technischen Abteilung an mich gerichtet wird, die sich jedoch nicht gemeldet haben.

UPD: Ab dem 13.01.2020 wurde diese Sicherheitsanfälligkeit behoben.

Nützliche Links zu diesem Problem von einem anderen Sicherheitsspezialisten, der ein ähnliches Problem entdeckt hat, mit dem Sie den PayPal-Benutzernamen und das PayPal-Passwort stehlen können [ Read ... ]