Startseite > Datenschutz, Internet, Piraten, Sonstiges, Statische Tags, Technik, Verbraucherrechte > Sicherheitslücke bei PayPal eine Woche lang offen

Sicherheitslücke bei PayPal eine Woche lang offen

Anfang Dezember, am 9.12., habe ich morgens gegen 10 eine Sicherheitslücke bei Paypal entdeckt. Obwohl der Laden es eigentlich nicht verdient hat (nicht nur weil sie Wikileaks das Konto gesperrt haben, sondern z. B. deswegen weil sie gerne mal ohne wirklichen Grund Konten willkürlich einzufrieren und sich dann zu weigern, vor Ablauf von 6 Monaten das Geld freizugeben).

Das Problem war, dass man innerhalb der (HTTPS-geschützten) Paypal-Seite über ungeschützte Seiten weitergeleitet wurde – was ein Angreifer prompt hätte ausnutzen können, um ein Opfer auf eine Phisingseite umzuleiten, nachdem es die gesicherte Paypal-Seite erreicht hat.

Obwohl Paypal mir noch am 9. gegen 18 Uhr bestätigte, meine Mail bekommen zu haben und sich um das Problem zu kümmern, wurde die gefährliche Umleitung erst am 16.12., also eine Woche später, in den frühen Morgenstunden behoben. (Ein paar Tage zuvor wurde schon die Umleitung von Paypal.com auf paypal-deutschland.de aufgehoben, wenn ich es richtig in Erinnerung habe.) Wie lange die Lücke vor meiner Entdeckung offen war weiß ich natürlich nicht, aber das können nochmal Wochen oder Monate gewesen sein.

Besonders peinlich daran war, dass die Umleitung über irgendeinen Werbeserver eines Drittanbieters erfolgte, vermutlich also nur gemacht wurde, um Statistiken zu sammeln beziehungsweise das Nutzerverhalten zu verfolgen. Die Lücke hätte eigentlich innerhalb von weniger als einer Stunde behoben sein müssen. Angesichts der Größe von Paypal und der Tatsache dass es sich um einen Zahlungsdienstleister handelt, hätte ich ehrlich gesagt erwartet, dass die Lücke innerhalb einer Stunde nach meiner Mail weg ist – und nicht, dass allein die Eingangsbestätigung rund 8 Stunden dauert. (Gemeldet hatte ich das an eine spezielle Adresse zum Melden von Sicherheitslücken).

Es wird aber noch besser: Dass es gefährlich ist, Teile von kritischen Websites ohne SSL laufen zu lassen, ist hinreichend bekannt, und wurde z. B. von Moxie Marlinspike vor Jahren demonstriert. Die Reaktion von PayPal auf seine Entdeckung: Sie haben sein PayPal-Konto gesperrt und sein Geld darauf eingefroren (lies: erstmal behalten).

 

Technische Details der Lücke

Für Interessierte hier nocheinmal die ganzen schmutzigen technischen Details:

Wenn man mit einem auf deutsch eingestellten Browser auf http://www.paypal.com ging (und die Seite gerade nicht erfolgreich von 4chan geddost wurde), wurde man auf https://www.paypal-deutschland.de/ umgeleitet. Wie es sich für einen Zahlungsdienstleister gehört wurde dabei SSL eingesetzt, wenn auch das Zertifikat dem PayPal-Ableger in Singapur gehört, obwohl die Seite laut Impressum von PayPal Europe (Luxemburg) betrieben wird.

Der Login-Knopf (Ergänzung: der Knopf der einen zum Login-Formular bringt, also kein Knopf zum Absenden der Logindaten) zeigte auf

https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11

Wenn man diese URL nun aufgerufen hat, sah das so aus (Hervorhebung von mir. Die SSL-Warnung liegt nur daran dass mein wget nicht richtig konfiguriert ist):

--04:07:37--  https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11
           => `nul'
Resolving www.paypal-deutschland.de... 62.168.214.18
Connecting to www.paypal-deutschland.de|62.168.214.18|:443... connected.
WARNING: Certificate verification error for www.paypal-deutschland.de: unable to get local issuer certificate
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11 [following]
--04:07:37--  http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11
           => `nul'
Resolving altfarm.mediaplex.com... 89.207.18.81
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com [following]
--04:07:37--  http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com
           => `nul'
Resolving mp.apmebf.com... 89.207.18.80
Connecting to mp.apmebf.com|89.207.18.80|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557 [following]
--04:07:38--  http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557
           => `nul'
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 424 [text/html]

    0K                                                       100%   15.56 MB/s

04:07:38 (15.56 MB/s) - `nul' saved [424/424]

Man wird also über mehrere unverschlüsselte Webseiten weitergeleitet. Die letzte liefert dann eine HTML-Seite aus, die einen wieder zurück zu einer HTTPS-gesicherten Paypal-Seite bringt.

Ein Angreifer mit gewisser Kontrolle über die Internetverbindung konnte also die Auslieferung der ungesicherten Seiten manipulieren und so das Opfer auf eine Phishingseite umlenken. Wenn ein Opfer vor dem Anklicken des Login-Links das Zertifikat (und dann nicht mehr) geprüft hat, wähnte es sich in Sicherheit (denn von einer sicheren Seite sollte man nicht unsicher umgeleitet werden), obwohl aufgrund dieses Fehlers Gefahr bestand.

  1. 2010-12-27 um 13:18 UTC

    Etwas ähnliches konnte ich auch letzte Woche beobachten. Ich nutze Paypal nicht sehr häufig, daher ist mir das Problem wohl früher nicht ausgefallen.

    Ich nutze hier ein recht restriktives Setup, was die Kommunikation meiner Rechner mit dem Internet angeht. Neben ein paar TCP- und UDP-Ports, die für Rechner aus dem LAN heraus für ausgehende Verbindungen genutzt werden dürfen kommt auch ein filternder HTTP-Proxy zum Einsatz. Und genau dieser Proxy hat letzte Woche Fehler nach dem Login auf der Paypal-Seite ausgespuckt — der Werbeblocker hatte zugeschlagen. Da ich mir keinen Reim auf die Sache machen konnte bzw. gerade auch keine Zeit und Lust für eine eingehendere Untersuchung habe ich das Bezahlen mit Paypal an dieser Stelle gelassen und es in die Schublade „temporäres Problem anderer Leute“ gesteckt. ;-)


    Gruß,
    Andreas

  2. brennus38@hotmail.co
    2010-12-29 um 21:12 UTC

    Seit einigen Tagen kann auch ich Pay Pal nicht erreichen. ( “ keine Verbindung zu altfarm.mediaplex.com “ etc. )Ich habe mit altfarm nichts zu tun. Nachdem ich ja nun auch einiges über die Machenschaften von Pay Pal gelesen habe, und dem Verhalten gegenüber Wickileaks werde ich das Zahlungssystem nicht mehr benutzen.

    Gruß Brennus

    • Jan
      2011-01-19 um 21:20 UTC

      Vielleicht altfarm.mediaplex.com irgendwie geblockt, weil Werbe/Trackingserver? Adblock, Hostsdatei, Firewall etc.?

  3. sam
    2011-01-19 um 13:40 UTC

    Hey, sehr schöner Artikel. Ergänzend möchte ich noch loswerden, dass leider „keiner“ scheinbar gültige SSL-Zertifikate überprüft. Warscheinich nicht einmal weiß, was das ist. (So lange es „grün“ ist bin ich sicher) – Irgendwie fehlt da nen Stück Aufklärung in der internetnutzenden Bevölkerung.

    Beste Grüße

  4. therealAnodyne
    2012-02-07 um 15:58 UTC

    Hallo zusammen.
    Neuerdings erscheint bei mir beim Ausloggen auf PayPal folgende Seite:
    http://mp.apmebf.com
    Ebenfalls, wenn ich zum Händlerportal möchte (per Link auf Paypal-Seite).
    Ist das was ähnliches wie das oben beschriebene ?

    Das macht einem ja echt Sorgen.
    (Cookies von Drittanbietern sind bei mir deaktiviert (Firefox 10.0).)

    Danke für Aufklärung durch einen Wissenden.

    Gruß,
    therealAnodyne

  5. sbf
    2013-01-08 um 21:15 UTC

    Ich erhalte auch beim Ausloggen aus Paypal eine Fehlermeldung – ich habe einen Ipfire-Proxyserver zwischen meinem Rechner und der weiten Welt, der hat den Zugang zu der URL http://altfarm.mediaplex.com blockiert, da ich einen FIlter für solche Seiten (damit sie im Hintergrund nicht laden) eingerichtet habe. Es ist schon erschrecken dass ein Unternehmen welches sich als serös bezeichnet, solche Maschenschaften nötig hat.

  1. No trackbacks yet.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: