Nieuws
image

"Alle PayPal-accounts in 30 seconden te kraken" - Update

donderdag 16 juni 2011, 10:29 door Redactie, 14 reacties

Een beveiligingslek in PayPal maakt het mogelijk om binnen dertig seconden volledige controle over alle accounts te krijgen, aldus een Britse beveiligingsonderzoeker. Volgens Matt Langley bevind de kwetsbaarheid zich in PayPal's "wachtwoord vergeten" optie. PayPal stuurt de "Password Forgotten Change tokens" naar ongeautoriseerde e-mailadressen, in plaats van het e-mailadres dat aan het account is gekoppeld.

"Als je de link volgt die ze je toesturen, en het wachtwoord verandert, heb je volledige toegang tot dat account. Geen speciale trucs of complexe hacks zijn vereist. Het is een bug in hun e-mailsysteem dat e-mailadressen corrumpeert", aldus Langley tegenover The Hacker News.

Update 14:18
Inmiddels laat Langley weten dat er toch geen probleem is en dat het 'slachtoffer' een account met zijn e-mailadres had geopend. Daarin waren een aantal karakters toegevoegd, maar Gmail negeert die en accepteert die als het zelfde e-mailadres. Het probleem ligt volgens de onderzoeker dan ook bij Gmail en niet bij PayPal.

Reacties (14)
16-06-2011, 10:41 door Nimrod
Ja en nu ??

Is dit bug al gefixed of wat... ?!
16-06-2011, 10:51 door Anoniem
Dit is een non-issue!

Zie: http://news.ycombinator.com/item?id=2660400


"It seems that the 'victim' had opened an account using an email address of mine, with extra characters thrown in, which Gmail ignores and accepts as the same email address, so it was gmail which uncorrupted the email address and sent the emails to me, not Paypal. I had previously reported an account set-up with fraudulent email address to Paypal many times in the past, but only yesterday noticed that the email address was different to mine, in a way which on any other email system in the world would be a different email address.
Cheeky bugger. I'm gonna have to ask them to close it down or at least change the email address.
but I guess I owe you all an apology" - Matt Langley
16-06-2011, 10:54 door Anoniem
dat lijkt me wel anders zou paypal het niet publiceren
16-06-2011, 10:55 door Anoniem
Leuke fout weer, tsjonge jonge jonge jonge....
Kunnen ze nou nooit eens een veilig systeempje voor ons maken, of is dat te duur?
16-06-2011, 11:04 door Mysterio
Ik snap h'm niet... Je moet toch een bekend e-mail adres invullen om de link toegestuurd te krijgen? Aangezien je inlogt met e-mail/wachtwoord. Ik heb het net geprobeerd, maar ik krijg echt alleen maar een link op het e-mail adres waar ik het account aan gekoppeld heb. Elk ander adres zegtie dat het een onbekend adres is.

[edit]Ah, ik zie het al. De knuppel heeft eerst geroepen, toen pas echt getest.
16-06-2011, 11:09 door Preddie
ach iedereen die een beetje bewust met beveiliging bezig is heeft geen paypal account.....
16-06-2011, 13:37 door Anoniem
ik heb hetzelfde ik krijg paypal reciepts binne van iemand die hetzelfde e-mail adress heeft als mij , op een puntje na ;)
16-06-2011, 13:45 door Anoniem
Update:

This has been debunked, Paypal accounts are safe. We’ve spoken in depth to Matt Langley, the person who discovered the supposed issue, and it’s clear why he assumed there was a serious security breach but the issue is far less serious than initially thought.

Lees verder: http://thenextweb.com/industry/2011/06/16/paypal-vulnerability-allows-access-to-any-account-within-30-seconds/

Ik vind het wel slecht dat er op de PayPal site hier niets over staat!!
16-06-2011, 15:45 door Anoniem
Update :

zonet nog even op me g-mail gekeken, heb volledige toegang verkregen tot:

windows live id
xbox id
paypal
itunes store ( creditcard is eraan gekoppeld )


meteen even een mailtje naar ze toegestuurd ( die ik ook uiteraard weer binnen kreeg ) met de melding dat ze maar beter een ander e-mail adres kunnen nemen.

in dit geval ging het om : fantadrink@gmail.com en fanta.drink@gmail.com

xoxo
16-06-2011, 16:00 door Spiff has left the building
Door Predjuh: ach iedereen die een beetje bewust met beveiliging bezig is heeft geen paypal account.....
Of wellicht: heeft geen gmail-account, of gebruikt dat niet voor zaken waarbij veiligheid van belang is.
16-06-2011, 21:40 door Anoniem
Kijk,daarom gebruik ik dus geen PayPal.Ik vermoedde al dat het niet veilig is.Ik doe trouwens helemaal niet aan internetbankieren,is gewoon niet veilig.
17-06-2011, 08:53 door Anoniem
/pak: duizenden Gmail account van de laatste lekken van lulz
/maak aan: duizen gmail accounts met een '.' ertussen
/fraudeer tot je belastingaangifte niet meer klopt

lekker makkelijk, maar nee, geen serieuse issue, want niemand zal dit doen na het horen van dit nieuws.. .. toch?

=> Gaat thuis direct eigen mailserver maken, genoeg van gegevens beheerd door prutsers
17-06-2011, 19:20 door Anoniem
Door Anoniem: /pak: duizenden Gmail account van de laatste lekken van lulz
/maak aan: duizen gmail accounts met een '.' ertussen

Je moet juist zorgen dat je gmail adressen met een . vindt en dan adressen registreren zonder de punt.

Peter
17-06-2011, 21:54 door Anoniem
Door Anoniem: Kijk,daarom gebruik ik dus geen PayPal.Ik vermoedde al dat het niet veilig is.Ik doe trouwens helemaal niet aan internetbankieren,is gewoon niet veilig.

Jij hebt een voorspellende gave, daar moet je serieus iets mee gaan doen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure