Credential-Stuffing-Angriff auf PayPal verunsichert

Ausgerechnet PayPal, war mein erster Gedanke als ich vom Credential-Stuffing-Angriff erfahren habe. Hätte sich Paypal besser gegen den Angriff wappnen können?

Sam Curry: Neue Zahlungssysteme zeichnen sich unter anderem durch ihre Einfachheit und Benutzerfreundlichkeit aus: Bei der Kaufabwicklung gibt es so wenig “Klicks” oder Herausforderungen wie möglich. Mit diesem Hintergrund gibt es nur wenige Lösungen, die PayPal tatsächlich umsetzen kann. Erstens kann PayPal eine Multi-Faktor-Authentifizierung einrichten – was allerdings eine zusätzliche Hürde oder den Einsatz von unterbrechungsfreien Authentifizierungsfaktoren bedeutet. Zu einem gewissen Grad wird dies bereits getan, aber allein der Erfolg von 35.000 Sicherheitsverletzungen deutet darauf hin, dass hier Verbesserungen nötig sind.

Kann die Analyse von Angriffsmustern helfen?

Das Unternehmen kann zusätzliche Analysen durchführen, um Angriffsmuster zu untersuchen. Dies wird jedoch nur bedingt Wirkung zeigen, da die Angreifer die Muster aus operativer Sicht recht einfach beeinflussen und ändern können. Letztlich müssen die Nutzer also bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen, indem sie ihre Passwörter ändern, Passwort-Tresore nutzen, einmalige Passwörter verwenden und weitere ähnliche Maßnahmen anwenden. Nur so kann PayPal letztendlich ein System bereitstellen, das den Nutzern mehr als nur die Beobachtung ihrer Geldbewegungen ermöglicht.

Selbst große Unternehmen werden immer wieder Opfer von Cyberangriffen. Wem sollen die Kunden noch ihre sensiblen Daten anvertrauen?

In diesem Fall ist es wichtig zu wissen, dass nicht PayPal angegriffen wurde. Andere Sicherheitslücken führten dazu, dass die Passwörter vieler Benutzer gestohlen wurden. Da viele Menschen ihre Passwörter häufig mehrfach verwenden, waren die Hacker in der Lage, PayPal-Konten so lange mit den Passwörtern zu beschießen, bis sie 35.000 Übereinstimmungen fanden. Nun wäre es interessant zu wissen, wie viele dieser Authentifizierungen ins Leere liefen, bis die Angreifer 35.000 Treffer erzielten. Mit anderen Worten: Wie hoch war das Verhältnis von Erfolg zu Misserfolg? Falls dieses Verhältnis anormal ist, schließt sich die Frage an, wie lange PayPal gebraucht hat, um die Abweichungen zu erkennen. Der Teufel steckt im Detail, ebenso wie der Weg zur Verbesserung der Backend-Analytik.

Was können andere Unternehmen vom PayPal-Vorfall lernen?

Dieser Vorfall sollte auch eine Warnung für andere Unternehmen sein, die wertvolle Daten oder gar Geld nur mit Passwörtern schützen. Denn, wenn PayPal nun seine Security-Maßnahmen verbessert, werden die Hacker die bereits gestohlenen Passwörter auf anderen Websites ausprobieren. Daher die essentielle Frage an die anderen Unternehmen: Sind Sie darauf vorbereitet?

Sam Curry

Chief Security Officer bei Cybereason

Roger Homrich

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

5 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago