PayPal-Vorfall als Warnung für die Cybersecurity-Welt

Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte

[datensicherheit.de, 25.01.2023] Der Zahlungsdienstleister PayPal soll Opfer eines enormen „Credential-Stuffing“ Angriffs geworden – viele Nutzer seien daher verunsichert, wie sicher ihr Geld und ihre Daten in der digitalen Welt sind, wenn so etwas selbst einem „Big-Player“ wie PayPal passiert. Sam Curry, „Chief Security Officer“ bei Cybereason, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein und äußert hierzu zwei Gedanken:

Foto: Cybereason

Sam Curry: Letztlich müssten auch die Nutzer bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen!

Cyber-Sicherheit als Aufgabe für alle Beteiligten

Zur naheliegenden Frage, was PayPal tun müsste, um besser gegen diese Angriffe gewappnet zu sein, führt Curry aus: „Neue Zahlungssysteme zeichnen sich unter anderem durch ihre Einfachheit und Benutzerfreundlichkeit aus: Bei der Kaufabwicklung gibt es so wenig ,Klicks’ oder Herausforderungen wie möglich. Mit diesem Hintergrund gibt es nur wenige Lösungen, die PayPal tatsächlich umsetzen kann:“

Erstens könne PayPal eine Multi-Faktor-Authentifizierung einrichten – was allerdings eine zusätzliche Hürde oder den Einsatz von unterbrechungsfreien Authentifizierungsfaktoren bedeute. Zu einem gewissen Grad werde dies bereits getan, aber allein der „Erfolg von 35.000 Sicherheitsverletzungen“ deute darauf hin, dass hierbei Verbesserungen nötig seien.

Zweitens könne das Unternehmen zusätzliche Analysen durchführen, um Angriffsmuster zu untersuchen. Dies werde jedoch nur bedingt Wirkung zeigen, da die Angreifer die Muster aus operativer Sicht recht einfach beeinflussen und ändern könnten.

Letztlich müssten die Nutzer also bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen, „indem sie ihre Passwörter ändern, Passwort-Tresore nutzen, einmalige Passwörter verwenden und weitere ähnliche Maßnahmen anwenden“. Nur so könne PayPal letztendlich ein System bereitstellen, „das den Nutzern mehr als nur die Beobachtung ihrer Geldbewegungen ermöglicht“.

Frage an jedes Unternehmen: Vorbereitet auf Cyber-Attacken auch im Umfeld?

Curry kommentiert auch die Erörterung der Frage, was es über den Zustand von Cyber-Sicherheit aussagt, wenn große Firmen immer wieder Opfer von Cyber-Angriffen und die sensiblen Daten ihrer Kunden ausspioniert werden:

„In diesem Fall ist es wichtig zu wissen, dass nicht PayPal angegriffen wurde. Andere Sicherheitslücken führten dazu, dass die Passwörter vieler Benutzer gestohlen wurden. Da viele Menschen ihre Passwörter häufig mehrfach verwenden, waren die Hacker in der Lage, PayPal-Konten so lange mit den Passwörtern zu beschießen, bis sie 35.000 Übereinstimmungen fanden.“

Nun wäre es laut Curry interessant zu wissen, wie viele dieser Authentifizierungen ins Leere liefen, bis die Angreifer 35.000 Treffer erzielten. „Mit anderen Worten: Wie hoch war das Verhältnis von Erfolg zu Misserfolg? Falls dieses Verhältnis anormal ist, schließt sich die Frage an, wie lange PayPal gebraucht hat, um die Abweichungen zu erkennen.“ Der Teufel stecke im Detail, ebenso wie der Weg zur Verbesserung der Backend-Analytik.

Dieser Vorfall sollte auch eine Warnung für andere Unternehmen sein, welche wertvolle Daten oder gar Geld nur mit Passwörtern schützen. Curry abschließend: „Denn, wenn PayPal nun seine Security-Maßnahmen verbessert, werden die Hacker die bereits gestohlenen Passwörter auf anderen Websites ausprobieren. Daher die essenzielle Frage an die anderen Unternehmen: Sind Sie darauf vorbereitet?“

Weitere Informationen zum Thema:

DerStandard, 22.01.2023
Datenleck bei Paypal: Angreifer hatten Zugriff auf Nutzerkonten / Kriminelle gelangten mithilfe zuvor gestohlener Daten in die Kundenkonten der Zahlungsplattform