Wie zdf.heute berichtet soll es gelungen sein über den Telelefonischen Kundendienst bei PayPal als unbefugte Person den Kontostand und Kontobewegungen  fremder PayPal Accounts abzufragen.

Eigentlich soll bei PayPal nach eigenen Angaben die Daten besonders Sicher aufgehoben sein. Man spricht von Verschlüsselungstechnologien und abgesicherte Server.

zdf.heute behauptet das Gegenteil den es soll bis Dienstag möglich gewesen sein über den Telefonischen Kundendienst ganz bequem den Kontostand als auch die Kontobewegungen abzurufen.

Das schlimme hierbei ist das offenber nicht menschliches Versagen der Callcenteragenten dahinter liegt, sondern der Kundendienst eigene Telefonserver der alle Gespräche bearbeitet gab die Daten frei.

PayPal machte es den Angreifern aber auch sehr einfach. Zum Telefonsichen Abruf des Kontostandes musste man bei PayPal eine Telefonnummer hinterlegen. Der PayPal Kundendienst Telefoncomputer vergleicht nun die hinterlegte Nummer mit der Anrufenden nummer, es reichte dann die letzten 4 Ziffern der PayPal kontonummer einzugeben, und schon hatte man vollen Zugriff auf die Daten.

Soweit scheint es halbwegs sicher, nur konnte der Kundendienst Telefoncomputer den Anschluss nicht erkennen (weil zb. die Telefonnummer unterdrückt ist), wurde der Kunde aufgefordert seine Rufnummer über die Telefontastatur einzugeben, und anschließtend wieder die letzten 4 Ziffern seiner PayPal-Kontonummer. Ein zustätzliches Passwort oder sonstige Sicherheitsabfragen gab es nicht.

Die Persönlichen Daten wie zb. Paypal Kontonummer und Telefonnummer liegen bei ettlichen Onlineshops alleine durch die Impressumspflicht schon offen, hier hätte sich die Konkurenz also schön bedienen können…