Hendelsen julaften får den anerkjente sikkerhetsbloggeren og tidligere Washington Post-journalisten til å konkludere i et innlegg med at doven autentisering fortsetter å være normen også i 2016.
– På telefon bekreftet kundeservice hos Paypal at angriperen hadde logget seg inn med mitt brukernavn og passord, og at jeg hadde gjort alt jeg kunne i etterkant. Vedkommende forsikret meg om at de ville overvåke kontoen for mistenkelig aktivitet, og at jeg ikke trengte å bekymre meg, skriver han.
Men angrepet var ikke over. En snau halvtime senere var kontoen kapret igjen. Og denne gang var både Krebs’ epostadresse tatt vekk og kontoens passord endret, slik at han ikke lenger kunne logge seg inn.
Antatt drept IS-hacker
Først da angriperen angivelig forsøkte å tømme kontoen, ved å overføre penger til den britisk-pakistanske jihadist-hackeren Junaid Hussain med forbindelser til terrorgruppa IS, ble kontoen stengt av Paypal.
Hussain har brukt hackeraliaset «TriCk» og var en nøkkelperson i det såkalte cyberkalifatet, og er antatt drept etter et droneangrep mot den syriske byen Raqqa i august i fjor.
Krebs lærte ved nye samtaler med Paypal at passordet ikke egentlig var kompromittert. Angriperen skal i stedet ha ringt kundeservice og latet som om vedkommende var ham. De siste fire sifrene fra personnummeret og de siste fire sifrene fra et gammelt kredittkort skal ha vært tilstrekkelig for å resette passordet.
Dette er statiske data tilhørende Krebs som diverse kjeltringer har publisert på internett gjennom flere år. Sikkerhetsbloggeren har som kjent vært hardt plaget av sine fiender, blant annet med politirazzia og falske anmeldelser til at noen har sendt ham heroin i posten.
Kritiserer Paypal
Ironisk nok måtte han møte opp fysisk på et Paypal-kontor og vise identifikasjonspapirer for å låse opp den nå fryste kontoen.
_logo.svg.png){kind=logo}
Krebs poengterer at Paypal også tilbyr tofaktor-autentisering med kodebrikke, som periodisk genererer engangspassord som må tastes inn sammen med brukernavn og passord.
– Denne løsningen har jeg brukt omtrent siden selskapet begynte å tilby dette for nesten ti år siden, men det hjelper bare så altfor lite hvis Paypal forsetter å la brukere resette sine passord ved å gjengi statiske data som det er trivielt å kjøpe fra kriminelle undergrunnsforum.
Paypal har svart på kritikken ved å erkjenne at selskapets standardprosedyrer ikke har vært fulgt.
– Selv om pengene forble sikret, beklager vi at denne uakseptable situasjonen oppsto og vi undersøker hendelsen for å unngå at dette skjer igjen, sier en talsperson fra selskapet til nettstedet The Register.
