PayPal funktioniert mit Festnetznummern nicht mehr

Hallo Leute,

das es bei PayPal Probleme gibt, habe ich seit einiger Zeit von Dritten gehört und selbst bei der Fehlersuche für diese Dritten bemerkt. Gestern änderte sich das Bild dann leider noch weiter ins negative, weil man jetzt nicht mal mehr mit PayPal bezahlen kann, wenn man eine Telefonnummernverifizierung auswählt.

PayPal funktioniert mit Festnetznummern nicht mehr

Gestern wollte ich mal etwas mit PayPal etwas bezahlen, eine Kleinigkeit aus einem Shop der halt nur sinnvoll per PayPal funktioniert. Nichts besonderes also, bis es ans eigentliche Bezahlen ging. Da muß man ja  mit Hinweis auf die Online-Bezahlrichtlinien der EU jetzt eine Verifizierung durchführen. Das ist ja schon eine ganze Weile so. Normalerweise lasse ich mich anrufen, weil kein Whatsapp und naja, wie soll ich sagen, SMS an eine Festnetznummer geht nun einmal auch nicht immer 😉 Leider kommt bei der PayPal Seite mit dem Anrufcode, den man eingeben muß eine Fehlermeldung: „Bei uns ist ein Fehler aufgetreten, versuchen Sie eine andere Methode“. Aus erwähnten Gründen geht das nicht.

Das Web ist schuld?

Da ich erst dachte, es wäre ein JavaScript Problem im Browser, habe ich diverse Browser ausprobiert. Gleiches Ergebnis. Dann habe ich mal den Debugger angeworfen und was da für lustige Fehler kamen werde ich Euch bis auf einen ersparen 😉 Mal sehen, ob Euch was auffällt:

https://undefined/messaging/auth/v1/messaging-opener-mts.js

ne ne nee, Ihr seht richtig, das habe ich nicht zum Schutz der Domain eingebaut 🙂 Domainnamen dynamisch einbinden, was kann da schon schief gehen 😀 Mehr oder weniger glücklicherweise, ist das wohl wohl nur für Whatsapp relevant, aber man kann ja nie wissen. Die richtige Domain dazu lautet dann wenig überraschend:  https://www.paypalobjects.com/messaging/auth/v1/messaging-opener-mts.js

Der persönliche Kontakt

Heute war dann ein Anruf beim PayPal-Support fällig. Im Zuge des Support-Anrufes fragte der Telefonroboter dann nach meiner hinterlegten Nummer, anstatt die vom „Display“ abzulesen, und meinte: „Kenne ich nicht“. Da wurde es schon komisch. Sehr positiv, und das kann ich gar nicht oft genug sagen, war das Gespräch mit der sehr kompetenten Mitarbeiterin im Callcenter, die anders als andere Callcenter, kein Script vom Monitor abgelesen hat. Man konnte mit Ihr das Problem direkt besprechen. Da kam raus, daß wie vermutet, der Fehler nicht auf meiner Seite lag, sondern das Problem der Haustechnik bekannt sein und „man daran arbeite“, mit unbekanntem Zeitfenster. Ich persönlich bin ja der Meinung, daß das eine Sache von Minuten sein dürfte, den Fehler zu finden, wenn man schon monatelang ein funktionierendes System hatte, aber eine Zeitangabe gab es leider nicht.

Die Mitarbeiterin meinte dann, es wäre ja möglich eine Handynummer einzutragen, dann könnte man die mit einer Code SMS versehen und das würde ja dann funktionieren. Da lehnte ich dann ab, denn jede seriöse Bank hat die SMS-TAN nicht grundlos aus dem Programm genommen. Nennt mich altmodisch, aber bei Geldgeschäften kommt ein Handy prinzipbedingt nicht zum Einsatz, da es mehrere in Praxis funktionierende Angriffe auf deren Sicherheit gerade bei SMS gibt. Stichworte: SIM-CARD-SWAPPING, Rogue Micronode ( das ist wenn ein LKW vor Deiner Tür parkt, der für Dich Funkzelle spielt ), S7 Capture usw.  Das kann einem alles bei einem Festnetz nicht passieren (wenn es noch Festnetz wäre).

Das andere PayPal-Problem

Jetzt sind deren nicht ankommende Anrufe nicht die einzigen PayPal Probleme. Ihr wißt ja, Ich arbeite als Serveradmin im Webhostingbereich. Wir haben unter unserer Kontrolle einige tausend Domains und für die meisten machen wir auf den jeweiligen Servern auch den Mailverkehr. Was jetzt zu beobachten war, daß PayPal einigen Kunden seit Monaten keine Emails mehr schickt, andere Kunden auf dem gleichen Server aber Emails von PayPal empfangen können. Jetzt ist es nicht so, daß die als Spam erkannt würden, nein, die kommen gar nicht erst bis zum Server. Der Support ist schon vor Monaten von diversen Kunden angeschrieben worden, wo da das Problem liegen könnte, aber bis heute konnte oder wollte PayPal keine Fehlermeldungen rausrücken. Unser Verdacht, da ja andere PayPalkunden Mails bekommen, daß das Problem bei PayPal liegt. Vom Support kam dann der Spruch, die Techniker würden sich das ansehen, ja und das wars dann auch schon wieder. Ob  das die gleichen Techniker sind, oder die, die am Telefonproblem arbeiten, weiß man jetzt leider nicht 😉

Fazit: Zur Zeit geht PayPal für Leute mit Festnetz nicht mehr 🙁  Das könnte sich recht negativ auf das Weihnachtsgeschäft von PayPal auswirken, denn das werden andere dann machen.

Einen gewagten Tip aus dem Netz werde ich mal ausprobieren: Wenn man ein Ebaykonto hat und das mit PayPal verknüpft ist, kann man während des Bezahlvorgangs PayPal aufrufen und ist drin. Dazu muß Ebay natürlich im gleichen Browser benutzt und etwas gekauft haben. Ob das wirklich funktioniert, werde ich mal ausprobieren.

Mailserver – Gebrochenes TLS im Einsatz

Wer erinnert sich noch an diesen Beitrag BSI versendet Emails ohne TLS Verschlüsselung oder den hier : Sächsische Polizei benutzte gebrochene Verschlüsselung? Ja, genau, es geht wieder um Transportverschlüsselung von Mailservern. Ich habe mal wieder hingesehen 🙂 Von den angekündigten „Args“ habe ich aber wegen der Lesbarkeit Abstand genommen 😉 Einige Gespräche mit IT Abteilungen sind auch merkwürdig verlaufen und finden daher hier keinen Einzug.

Etwas TLS Kontext

Ich habe auf unserer Serverfarm letzte Woche eine Umfrage gemacht, welche TLS Versionen im Einsatz sind und eine entsprechende Domainliste mit veralteter TLS 1.0 oder TLS 1.1 Versionen erstellt. Die Liste ist 884 Domains lang und natürlich nur ein Bruchteil aller weltweit betroffenen Server. Man muß auch dazu sagen, daß es nicht immer die Mailserver einer Domain selbst sind, sondern auch veraltete und schlecht gewartete Mailprogramme, z.b. Outlook und AppleMail.

Was ich nicht erwartet hatte war, daß die jeweiligen PCs auf dem aktuellen Stand sind und trotzdem mit TLSv1 Kontakt aufnehmen. Der untersuchte Apple Mac hatte alle Securityupdates eingespielt und sendet, genau wie ein Win7 + Outlook PC, trotzdem nur mit TLSv1(.0). Ob das Absicht ist ?

Die zweite Meinung vom BSI

Um eine zweite Meinung zum Thema „Einsatz von TLS 1.0 und 1.1 im Unternehmerischen Umfeld“ zu bekommen, habe ich mich an das Bundesamt für Sicherheit in der Informationstechnik und deren Sicherheitsberatung gewendet. Folgende Antwort auf die Frage, ob man TLS 1.0 und 1.1 noch einsetzen kann, kam bei mir an:

Sehr geehrte Damen und Herren,

vielen Dank für Ihre Anfrage nach der Sicherheit beim Einsatz von Transport
Layer Security (TLS).

Das BSI hat für den Einsatz von TLS eine technische Richtlinie erstellt,
"Technische Richtlinie TR-02102-2 Kryptographische Verfahren: Empfehlungen und 
Schlüssellängen Teil 2 – Verwendung von Transport Layer Security (TLS)":
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
werden nicht mehr empfohlen.

Für die Bundesverwaltung hat das BSI einen Mindeststandard zum Einsatz von
TLS entwickelt, der für die Stellen des Bundes verbindlich umzusetzen ist:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf 
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll_node.html

Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Wir hoffen, Ihnen mit diesen Informationen gute Argumente für die Stärkung
der Informationssicherheit in Ihrem Unternehmen geliefert zu haben.

Mit freundlichen Grüßen
das Team Sicherheitsberatung

Also ganz wichtig diese Passage :

Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Mit anderen Worten, überspitzt, es darf nur noch TLSv1.2 mit PFS eingesetzt werden, weil 1.0 und 1.1 als gebrochen gelten, alles andere wäre ja fahrlässig. Oder liest da jetzt jemand was anderes raus 😉 ? Dazu später noch mehr.

Die Liste

Bevor ich Euch hier die Liste der Domains präsentiere, muß ich noch mal auf den Kontext hinweisen. Die Liste ist stark gekürzt und nach bestem Wissen von Fehlern durch Endgeräte bereinigt. Auch könnten SPAMMER im Namen einer Domain Mails geschickt haben, das konnte nicht bereinigt werden. Wer sich auch immer auf dieser Liste wiederfindet, sollte das zum Anlass nehmen, mal seine Mailinfrastruktur zu prüfen.
amazon.de
aol.de
apaed.tu-darmstadt.de
appelmann.de
architekten-stade.de
bistum-dresden-meissen.de
blog.magento-agentur-muenchen.de
bounce.academia-mail.com
bounce.crm.glamour.de
bounce.info.bonprix.de
bounce.kommunikation.wuv.de
bounce.kundenservice.dpv.de
bounce.mailing.adac.de
bounce.mail.verivox.de
bounce.news.ing-diba.de
bounce.newspromo.de
bounce.reedexpo-email.com
bounces.amazon.de
bounces.audible.de
burggymnasium.de
cornelsen.borekmedia.de
deutschepost.de
dgs.de
dhl.de
flyeralarm.de
heidelberger-coaching.de
kundenservice.vodafone.com
lists.tu-darmstadt.de
login.power-nic.de
mail.edeka.de
mail.paypal.de
news.experten.de
news.haendlerbund.de
news.hagebaumarkt.de
news.hamburg-messe.de
news.heide-park.de
newsletter.bund.de
newsletter.sparkasse-koelnbonn.de
newsletter.spkhb.de
nomail.hrz.tu-darmstadt.de
paypal.de
postbank.de
postpay.de
service.de.jura.com
service.hsv.de
service.meine-verbraucherzentrale.de
sternfreunde-braunschweig.de
sw.mail.edeka.de
tigersoft.de
tu-braunschweig.de
uk-koeln.de
unitymedia.de
uni.leuphana.de
wiso.uni-hamburg.de
facebookmail.com
support.facebook.com
mail.paypal.de
paypal.at
paypal.com

Bei diesen Domainnamen handelt es sich um die Domains der Sender, nicht der Mailserver selbst. Beispiel: nomail.hrz.tu-darmstadt.de.

Die Rückmeldungen

Von einigen habe ich natürlich schon Rückmeldung bekommen. Ohne Namen zu nennen, waren einige lahm, andere ausweichend:

Es steht auch bereits ein neues Mailsystem zur Verfügung. Aufgrund interner Umstrukturierungen bei *** verzögert sich dessen Verwendung jedoch noch etwas.

WAS ? 10 JAHRE!!!

Nach zehn Jahren kommt es dann auf ein, zwei zusätzliche Jahre auch nicht mehr an 😉 Was 10 Jahre schon? Ja, laut der Liste bei Wikipedia, erschien TLS1.2 2008 auf der Bühne. Da wir 2018 haben, sind das jetzt sportliche 10 Jahre 🙂

SSL 3.1 bzw. TLS 1.01999
TLS 1.12006
TLS 1.22008

Nein, ich möchte dazu keinen zitierfähigen Kommentar abgeben.

Wesentlich besser war diese Antwort:

„...danke für den Hinweis. Da war das letzte Software Update weniger schlau als wir dachten 😐
Unsere 3 Server sollten jetzt mit der korrekten TLS Version senden.“ (Rechtschreibfehler behoben)

PayPal hat sich jedes Kommentars verweigert. Da PayPal auch Finanzinformationen per Mail verschicken könnte, wurde die BaFin eingeschaltet. Tja, ich war ja schon froh, daß nicht wieder die Polizei oder ein Bundesland .. ups.. glatt übersehen :

landkreis-helmstedt.de

Ich habe natürlich mit dem zuständigen Herrn telefoniert und er hat sofort verstanden worum es ging und wird es umgehend beheben. Dafür Daumen rauf ! Das war bislang der produktivste Kontakt aller kontaktierten Problemfälle.

Das CERT-BUND, auch betreut vom BSI, hat geschrieben:

vielen Dank für den Hinweis auf die TLS 1.0 Verwendung beim Newsletter-Versand über "newsletter.bund.de". Der IT-Dienstleister prüft, ob kurzfristig eine Umstellung auf TLS 1.2 möglich ist.

Mittelfristig ist geplant, dass der Newsletter-Versand über "mx.bund.de" erfolgt.

Mit freundlichen Grüßen
das Team CERT-Bund

geht doch 😀

Eine gängige Antwort war: „Schicken Sie mir das per EMail“ oder „Was erwarten Sie jetzt von mir?“ . Letzterer Satz kommt mir so bekannt vor ;D

Die Krönung

Aber wollt Ihr wissen, wer wirklich den Vogel abgeschossen hat ? Das war das BSI selbst 😀

2018-02-19 13:13:17 1enkJl-0007Vh-Ox <= sicherheitsberatung@bsi.bund.de H=m2-bn.bund.de [77.87.228.74] P=esmtps X=TLSv1:ECDHE-RSA-AES256-SHA:256 CV=no S=4513

Ich hatte ein zitierfähiges Statement fürs Blog angefordert, aber zur Zeit schweigt sich das BSI aus 🙂

Wer wissen will, was der Bund so alles über unsichere Mailverbindungen rausschickt :

2018-02-14 15:07:11 1elxiH-0003H1-Bi <= buerger-cert-newsletter_pgp@newsletter.bund.de H=newsletter.bund.de [77.87.229.56] P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no S=12118
2018-02-14 15:22:28 1elxx4-0008OP-2j <= buerger-cert-newsletter@newsletter.bund.de H=newsletter.bund.de [77.87.229.56] P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no S=5631
2018-02-16 13:27:45 1emf79-0005ne-Hd <= BGH-Pressemitteilungen@newsletter.bund.de H=newsletter.bund.de [77.87.229.56] P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 CV=no S=4497

Und so muß das eigentlich immer aussehen :

2018-02-19 13:18:37 1enkOw-0008B0-OH <= bugzilla@redhat.com H=mx1-phx2.redhat.com [209.132.183.26] P=esmtps X=TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=no S=3920

Der Kommentar

Ich glaube ja jetzt nicht, daß über die Newsletter vertrauliche Kommunikation läuft, aber gerade noch empfiehlt das BSI dem Bund nur TLSv1.2 einzusetzen und dann patzt der eigene BULK-Mailserver bei genau diesem Thema, das geht doch nicht Leute. Ihr habt eine Vorbildfunktion. Wenn Ihr das falsch macht, wer soll den Leuten das sonst zeigen?

Immerhin reagierte das BSI beim letzten mal binnen 24h auf das Problem, noch ist Zeit das zu unterbieten 😉 Aber es wird knapp …. und verloren .. Zeit ist um 😀 Die Stellungnahme hat zu lange gedauert (s.o.) .

Empfohlene Tools

Es gibt eine nette Seite, die für einen den TLS Check macht :

https://www.checktls.com/perl/live/TestReceiver.pl

Eine Beispielausgabe für Bloggt-in-braunschweig.de habe ich hier mal für euch:

Trying TLS on s120.resellerdesktop.de[83.246.80.133] (10):

secondstest stage and result
[000.100]Connected to server
[000.206]<–220 localhost.localdomain ESMTP Exim 4.89 Tue, 20 Feb 2018 10:55:04 +0100
[000.207]We are allowed to connect
[000.207] –>EHLO checktls.com
[000.307]<–250-localhost.localdomain Hello www6.checktls.com [159.89.187.50]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250-STARTTLS
250 HELP
[000.307]We can use this server
[000.308]TLS is an option on this server
[000.308] –>STARTTLS
[000.411]<–220 TLS go ahead
[000.411]STARTTLS command works on this server
[000.656]Connection converted to SSL
SSLVersion in use: TLSv1_2
Cipher in use: ECDHE-RSA-AES128-GCM-SHA256
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (s120.resellerdesktop.de = s120.resellerdesktop.de | DNS:pma.s120.resellerdesktop.de | DNS:s120.resellerdesktop.de | DNS:webmail.s120.resellerdesktop.de | DNS:www.s120.resellerdesktop.de)
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=03:be:8f:cc:06:04:d3:6c:18:2a:45:87:b2:11:be:b4:dc:22
subject= /CN=s120.resellerdesktop.de
issuer= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
Certificate 2 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=0a:01:41:42:00:00:01:53:85:73:6a:0b:85:ec:a7:08
subject= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate 3 of 3 in chain: Cert VALIDATED: ok
serialNumber=44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
[001.048] ~~>EHLO checktls.com
[001.148]<~~250-localhost.localdomain Hello www6.checktls.com [159.89.187.50]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250 HELP
[001.148]TLS successfully started on this server
[001.149] ~~>MAIL FROM:
[001.249]<~~250 OK
[001.249]Sender is OK
Hier war eine TEST EMAILADRESSE von uns drin.
[001.350]Note: This does not affect the CheckTLS Confidence Factor
[001.351] ~~>QUIT
[001.452]<~~221 localhost.localdomain closing connection

So (oben) muß das aussehen, aber auf keinen fall so (unten) :

secondstest stage and result
[000.117]Connected to server
[000.720]<–220 mailer.faller.de ESMTP mailgw ready.
[000.720]We are allowed to connect
[000.721] –>EHLO checktls.com
[000.830]<–250-mailer.faller.de checktls.com [www6.checktls.com] pleased to meet you.
250 DSN
[000.831]We can use this server
[000.831]TLS is not an option on this server
[000.831] –>MAIL FROM:
[000.955]<–250 OK
[000.955]Sender is OK
[000.956] –>RCPT TO:
[001.088]<–450 Temporary denied.
[001.089]Cannot proof email address (reason: RCPT TO rejected)
[001.089]Note: This does not affect the CheckTLS Confidence Factor
[001.089] –>QUIT
[001.204]<–221 Closing connection.

In dem Sinne, checkt mal Eure Mailserver, ob die TLSv1.2 können und wenn nicht, warum!

Wer Fragen zu seiner Domain hat (bitte von der Domain senden) kann diese an „marius äd bloggt-in-braunschweig.de“ stellen, wir suchen gerne raus, was genau im Log steht. Dies Angebot kann aufgrund der entsprechenden Vorschriften nur eine begrenzte Zeit aufrecht gehalten werden.

Ach ja, im Rahmen der Krypto-Party der BS-LUG am 21. 2. 2018 um 18 Uhr im Haus der Talente, Braunschweig. sprechen wir mal drüber 😉

Diese Woche im Netz

Sony will im PS3 Vergleich 55 $ an jeden bezahlen, der Linux auf der Kiste laufen lies, aber nach dem FW Update 2010 nicht mehr konnte.

Quelle: arstechnica.com

Endlich: Amerikanische Abgeordnete nehmen an Sitzstreik zur Verschärfung des Waffenrechts teil.

Quelle: faz.net

Mark Zuckerberg klebt Micro und Webcam an seinem MacBook Pro aus Angst vor Spionage ab.

Quelle: thehackernews.com

PayPal entschuldigt sich bei Seafile, wegen Sperrung, aber Seafile hat keine Lust mehr auf PayPal. Wie das wohl kommt 🙂

Quelle: golem.de – Seafile – Paypal will dropbox alternative zur bespitzelung …
Quelle: golem.de – Sperrung Paypal entschuldigt sich

Neuigkeiten zur Vorratsdatenspeicherung: Der Brachenverband ECO hat ein sechs Seiten Dokument über die Probleme bei der Umsetzung der Verordnung verfaßt und ist mit seinen Mitglieder übereingekommen, daß man genau nichts machen wird, bevor ein Gericht die VDS nicht für verfassungskonform befunden hat.

Quelle: eco.de – stn_vds-anforderungskatalog.pdf