Paypal - Autologin über eBay mit falschem Account!...

[eumel42]

Hi Leute,

gerade eine "interessante" Erfahrung gemacht:

habe für einen Freund was bei eBay ersteigert - er konnte gerade nicht darauf zugreifen und hat mich gebeten, das mit seinem Account zu erledigen.

Ich war mit seinem Account in eBay.

Paypal mache ich öfters von diesem PC, allerdings war mir bisher nicht bewusst daß es da auch ein Autologin gibt.

Jedenfalls habe ich gleich auf Bezahlen geklickt, Paypal ausgewählt und abgeschickt.
Den Account habe ich dabei nicht überprüft, nur den Empfänger und die Summe.
Geht ja bei eBay alles automatisch.

Kurz darauf bekomme ich(!) eine Bestätigung für die Zahlung via Paypal.

Kann ja nicht sein, also gleich überprüft:

Auktion und alles lief über Freund, Zahlung bei Paypal über meinen Account!


Nochmal:

eBay-Account: Freund, eingeloggt
Paypal: nicht eingeloogt
eBay->Paypal: Autologin, aber vermutlich mit Cookie von meinem PC daher mit meinem Account! -> ohne Passwort!
Zahlung von meinem Paypal-Account

Ist natürlich für diesen einen Fall nicht schlimm, aber damit gibt es ja einige Manipulations-Möglichkeiten.

Ist das bereits bekannt?

 

[ryan_blackdrago]

Automatische Anmeldung für Webseiten => Cookies
Da muß was über die Cookies gelaufen sein.. (EBAY und Paypal arbeiten ja zusammen..)

 

[eumel42]

Hallo,
schon klar, aber automatisches Login ohne Passwort?

Angenommen:
Freund heisst Hans Dampf, ich heisse Smörebröd

Anmeldung eBay->Paypal mit eBay-Cookie = Daten von Hans Dampf incl. Passwort vom eBay-Account
Anmeldung eBay->Paypal mit Paypal-Cookie = Daten von Smörebröd aber da fehlt das Passwort, das ist NICHT gespeichert.

Angriffs-Szenario:
- ich klau mir irgendwelche Paypal-Cookies von fremden Rechnern.
- ich kaufe irgendwas bei eBay mit einem Account ohne Paypal
- ich zahle mit Paypal, der Paypal-Account wird über das Cookie idenzifiziert.
- Paypal prüft das Passwort nicht weil die Anfrage von eBay kommt und die bei Paypal als sicher hinterlegt sind.

 

[SaxnPaule]

Das ist trotzdem ungewoehnlich. Ich bezahle bei eBay immer mit Paypal und wurde bisher IMMER nach einem Password gefragt.

Hast du das PayPal Kennwort im Browser gespeichert?

 

[narzissm]

Das ist trotzdem ungewoehnlich. Ich bezahle bei eBay immer mit Paypal und wurde bisher IMMER nach einem Password gefragt.

Hast du das PayPal Kennwort im Browser gespeichert?

Bei mir genauso. Soweit ich das bis jetzt gesehen hab, kann man das Passwort nicht mal im Browser speichern. Zumindest wird man nicht danach gefragt (Chrome).

 

[eumel42]

Hallo,
ich habe das Passwort NICHT im Browser gespeichert (Google Chrome), ich werde immer danach gefragt, ausserdem muss ich bei offener Session mich nach ca. 5mins neu anmelden weil die Sitzung abgelaufen ist.

 

[SaxnPaule]

Kontaktiere eBay mal diesbezueglich. Wenn es darauf keine Reaktion gibt, evtl. mal die CB Redaktion anschreiben, dass die sich darum kuemmern, da es doch ein gravierender Mangel ist / sein kann.