Wie zdf.heute berichtet soll es gelungen sein ĂŒber den Telelefonischen Kundendienst bei PayPal als unbefugte Person den Kontostand und Kontobewegungen fremder PayPal Accounts abzufragen.
Eigentlich soll bei PayPal nach eigenen Angaben die Daten besonders sicher aufgehoben sein. Man spricht von VerschlĂŒsselungstechnologien und abgesicherten Servern.
Zdf „heute“ behauptet das Gegenteil den es soll bis Dienstag möglich gewesen sein ĂŒber den telefonischen Kundendienst ganz bequem den Kontostand als auch die Kontobewegungen abzurufen.
Das schlimme hierbei ist, das offenber nicht menschliches Versagen der Callcenteragenten dahinter liegt, sondern der Telefonserver des Kundendienstes, der alle GesprÀche bearbeitet gab die Daten frei.
PayPal mache es den Angreifern aber auch sehr einfach. Zum telefonsichen Abruf des Kontostandes musste man bei PayPal eine Telefonnummer hinterlegen. Der PayPal Kundendienst Telefoncomputer vergleicht nun die hinterlegte Nummer mit der Anrufenden Nummer. Es reichte dann die letzten 4 Ziffern der PayPal Kontonummer einzugeben, und schon hatte man vollen Zugriff auf die Daten.
Soweit schien es halbwegs sicher. Nur; konnte der Kundendienst Telefoncomputer den Anschluss nicht erkennen (aufgrund unterdrĂŒckter Telefonnummer), wurde der Kunde aufgefordert seine Rufnummer ĂŒber die Telefontastatur einzugeben, und anschlieĂend wieder die letzten 4 Ziffern seiner PayPal-Kontonummer. Ein zustĂ€tzliches Passwort oder sonstige Sicherheitsabfragen gab es nicht.
Die persönlichen Daten wie zb. Paypal Kontonummer und Telefonnummer liegen bei ettlichen Onlineshops alleine durch die Impressumspflicht schon offen, hier hĂ€tte sich die Konkurenz also schön bedienen können…
24. Mai 2011