Sicherheitslücke bei PayPal eine Woche lang offen
Anfang Dezember, am 9.12., habe ich morgens gegen 10 eine Sicherheitslücke bei Paypal entdeckt. Obwohl der Laden es eigentlich nicht verdient hat (nicht nur weil sie Wikileaks das Konto gesperrt haben, sondern z. B. deswegen weil sie gerne mal ohne wirklichen Grund Konten willkürlich einzufrieren und sich dann zu weigern, vor Ablauf von 6 Monaten das Geld freizugeben).
Das Problem war, dass man innerhalb der (HTTPS-geschützten) Paypal-Seite über ungeschützte Seiten weitergeleitet wurde – was ein Angreifer prompt hätte ausnutzen können, um ein Opfer auf eine Phisingseite umzuleiten, nachdem es die gesicherte Paypal-Seite erreicht hat.
Obwohl Paypal mir noch am 9. gegen 18 Uhr bestätigte, meine Mail bekommen zu haben und sich um das Problem zu kümmern, wurde die gefährliche Umleitung erst am 16.12., also eine Woche später, in den frühen Morgenstunden behoben. (Ein paar Tage zuvor wurde schon die Umleitung von Paypal.com auf paypal-deutschland.de aufgehoben, wenn ich es richtig in Erinnerung habe.) Wie lange die Lücke vor meiner Entdeckung offen war weiß ich natürlich nicht, aber das können nochmal Wochen oder Monate gewesen sein.
Besonders peinlich daran war, dass die Umleitung über irgendeinen Werbeserver eines Drittanbieters erfolgte, vermutlich also nur gemacht wurde, um Statistiken zu sammeln beziehungsweise das Nutzerverhalten zu verfolgen. Die Lücke hätte eigentlich innerhalb von weniger als einer Stunde behoben sein müssen. Angesichts der Größe von Paypal und der Tatsache dass es sich um einen Zahlungsdienstleister handelt, hätte ich ehrlich gesagt erwartet, dass die Lücke innerhalb einer Stunde nach meiner Mail weg ist – und nicht, dass allein die Eingangsbestätigung rund 8 Stunden dauert. (Gemeldet hatte ich das an eine spezielle Adresse zum Melden von Sicherheitslücken).
Es wird aber noch besser: Dass es gefährlich ist, Teile von kritischen Websites ohne SSL laufen zu lassen, ist hinreichend bekannt, und wurde z. B. von Moxie Marlinspike vor Jahren demonstriert. Die Reaktion von PayPal auf seine Entdeckung: Sie haben sein PayPal-Konto gesperrt und sein Geld darauf eingefroren (lies: erstmal behalten).
Technische Details der Lücke
Für Interessierte hier nocheinmal die ganzen schmutzigen technischen Details:
Wenn man mit einem auf deutsch eingestellten Browser auf www.paypal.com ging (und die Seite gerade nicht erfolgreich von 4chan geddost wurde), wurde man auf https://www.paypal-deutschland.de/ umgeleitet. Wie es sich für einen Zahlungsdienstleister gehört wurde dabei SSL eingesetzt, wenn auch das Zertifikat dem PayPal-Ableger in Singapur gehört, obwohl die Seite laut Impressum von PayPal Europe (Luxemburg) betrieben wird.
Der Login-Knopf (Ergänzung: der Knopf der einen zum Login-Formular bringt, also kein Knopf zum Absenden der Logindaten) zeigte auf
https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11
Wenn man diese URL nun aufgerufen hat, sah das so aus (Hervorhebung von mir. Die SSL-Warnung liegt nur daran dass mein wget nicht richtig konfiguriert ist):
--04:07:37-- https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11
=> `nul'
Resolving www.paypal-deutschland.de... 62.168.214.18
Connecting to www.paypal-deutschland.de|62.168.214.18|:443... connected.
WARNING: Certificate verification error for www.paypal-deutschland.de: unable to get local issuer certificate
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11 [following]
--04:07:37-- http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11
=> `nul'
Resolving altfarm.mediaplex.com... 89.207.18.81
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com [following]
--04:07:37-- http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com
=> `nul'
Resolving mp.apmebf.com... 89.207.18.80
Connecting to mp.apmebf.com|89.207.18.80|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557 [following]
--04:07:38-- http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557
=> `nul'
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 424 [text/html]
0K 100% 15.56 MB/s
04:07:38 (15.56 MB/s) - `nul' saved [424/424]
Man wird also über mehrere unverschlüsselte Webseiten weitergeleitet. Die letzte liefert dann eine HTML-Seite aus, die einen wieder zurück zu einer HTTPS-gesicherten Paypal-Seite bringt.
Ein Angreifer mit gewisser Kontrolle über die Internetverbindung konnte also die Auslieferung der ungesicherten Seiten manipulieren und so das Opfer auf eine Phishingseite umlenken. Wenn ein Opfer vor dem Anklicken des Login-Links das Zertifikat (und dann nicht mehr) geprüft hat, wähnte es sich in Sicherheit (denn von einer sicheren Seite sollte man nicht unsicher umgeleitet werden), obwohl aufgrund dieses Fehlers Gefahr bestand.
Etwas ähnliches konnte ich auch letzte Woche beobachten. Ich nutze Paypal nicht sehr häufig, daher ist mir das Problem wohl früher nicht ausgefallen.
Ich nutze hier ein recht restriktives Setup, was die Kommunikation meiner Rechner mit dem Internet angeht. Neben ein paar TCP- und UDP-Ports, die für Rechner aus dem LAN heraus für ausgehende Verbindungen genutzt werden dürfen kommt auch ein filternder HTTP-Proxy zum Einsatz. Und genau dieser Proxy hat letzte Woche Fehler nach dem Login auf der Paypal-Seite ausgespuckt — der Werbeblocker hatte zugeschlagen. Da ich mir keinen Reim auf die Sache machen konnte bzw. gerade auch keine Zeit und Lust für eine eingehendere Untersuchung habe ich das Bezahlen mit Paypal an dieser Stelle gelassen und es in die Schublade “temporäres Problem anderer Leute” gesteckt. ;-)
–
Gruß,
Andreas
Seit einigen Tagen kann auch ich Pay Pal nicht erreichen. ( ” keine Verbindung zu altfarm.mediaplex.com ” etc. )Ich habe mit altfarm nichts zu tun. Nachdem ich ja nun auch einiges über die Machenschaften von Pay Pal gelesen habe, und dem Verhalten gegenüber Wickileaks werde ich das Zahlungssystem nicht mehr benutzen.
Gruß Brennus
Vielleicht altfarm.mediaplex.com irgendwie geblockt, weil Werbe/Trackingserver? Adblock, Hostsdatei, Firewall etc.?
Hey, sehr schöner Artikel. Ergänzend möchte ich noch loswerden, dass leider “keiner” scheinbar gültige SSL-Zertifikate überprüft. Warscheinich nicht einmal weiß, was das ist. (So lange es “grün” ist bin ich sicher) – Irgendwie fehlt da nen Stück Aufklärung in der internetnutzenden Bevölkerung.
Beste Grüße
Hallo zusammen.
Neuerdings erscheint bei mir beim Ausloggen auf PayPal folgende Seite:
http://mp.apmebf.com
Ebenfalls, wenn ich zum Händlerportal möchte (per Link auf Paypal-Seite).
Ist das was ähnliches wie das oben beschriebene ?
Das macht einem ja echt Sorgen.
(Cookies von Drittanbietern sind bei mir deaktiviert (Firefox 10.0).)
Danke für Aufklärung durch einen Wissenden.
Gruß,
therealAnodyne