Sicherheitsupgrade Paypal

Thema wurde von NIKKI, 14. Mai 2018 erstellt.

  1. NIKKI

    NIKKI Erfahrener Benutzer

    Registriert seit:
    5. April 2016
    Beiträge:
    64
    Danke erhalten:
    1
    Danke vergeben:
    9
    Hallo zusammen,

    ich habe einen Anruf vom Paypal-Geschäftskundenservice bekommen und mir wurde mitgeteilt, dass ich nur noch bis Ende Juni Paypal-Zahlungen empfangen kann wenn ich die wichtigen Sicherheitsupgrades am Paypal-Zahlungsmodul nicht durchführe.

    Hatte das von euch auch jemand?
    Hier ein kleiner Auszug aus der Email, welche ich nach dem Telefonat erhalten habe:

    "
    Laut unseren Unterlagen müssen Sie noch einige wichtige Sicherheitsupgrades für Ihre Systeme durchführen. Wird neben einer Sicherheitsänderung "Ja" angezeigt, müssen Sie Ihre Integration bis zum angegebenen Datum aktualisieren, um die neuen Sicherheitsmaßnahmen zu implementieren:

    • TLS 1.2- und HTTP/1.1-Upgrade – bis Juni 2018
    "

    Was muss ich nun unternehmen?

    Danke
    Gruß Lars
     
  2. Anonymous

    Anonymous Erfahrener Benutzer
    Mitarbeiter

    Registriert seit:
    22. Juni 2011
    Beiträge:
    4.760
    Danke erhalten:
    1.748
    Danke vergeben:
    137
    Hallo,

    wirf mal bitte die beiliegende Datei ins Hauptverzeichnis deines Shops, logge dich als Admin ein und und rufe sie auf, per https://dein-shop.example.com/test_paypaltls.php, und wenn da etwas anderes als „PayPal_Connection_OK“ erscheint, sehen wir weiter.
     

    Anhänge:

  3. NIKKI

    NIKKI Erfahrener Benutzer

    Registriert seit:
    5. April 2016
    Beiträge:
    64
    Danke erhalten:
    1
    Danke vergeben:
    9
    Hallo,
    danke

    Ja es erscheint dann

    PayPal TLS Test
    PayPal_Connection_OK
     
  4. Anonymous

    Anonymous Erfahrener Benutzer
    Mitarbeiter

    Registriert seit:
    22. Juni 2011
    Beiträge:
    4.760
    Danke erhalten:
    1.748
    Danke vergeben:
    137
    Dann sollte alles in Ordnung sein und du musst nichts weiter tun.

    „Laut unseren Unterlagen“ ist auch eine sehr seltsame Begründung für so eine Kontaktaufnahme. Da wäre es wünschenswert, wenn PayPal deutlicher benennen könnte, worum es geht.
     
  5. NIKKI

    NIKKI Erfahrener Benutzer

    Registriert seit:
    5. April 2016
    Beiträge:
    64
    Danke erhalten:
    1
    Danke vergeben:
    9
    Habe die Mail jetzt an spoof@paypal.com weitergeleitet.

    Wenn die sich zurückmelden, dass es kein Betrugsversuch ist, dann frage ich dort nach was ich nun weiter tun soll.
    Vielleicht bekomme ich dann nähere Infos, was da nicht in Ordnung sein soll.

    Danke für deine schnelle Hilfe
     
  6. NIKKI

    NIKKI Erfahrener Benutzer

    Registriert seit:
    5. April 2016
    Beiträge:
    64
    Danke erhalten:
    1
    Danke vergeben:
    9
    Zu dem Thema habe ich bis heute nichts vom Paypal-Support gehört ... heute kommt aber folgende Meldung wenn ich mich auf dem Paypal-Konto einlogge (siehe Bild)

    Klicke ich auf "Geschäftskonto einrichten" kommt eine ROTE Fehlermeldung von Avira
    "Dies ist eine Phishing-Webseite"

    Weil ich eine Mimose bin hab ich mich nicht getraut das einfach wegzuklicken ;-)

    Bin ich wirklich der einzige, der verrückte Sicherheitsstandards von paypal braucht :-D
     

    Anhänge:

  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    11. Februar 2015
    Beiträge:
    1.291
    Danke erhalten:
    398
    Danke vergeben:
    237
    Ist diese Datei irgendwie personalisiert? Ich habe das auch mal getestet und bei mir erscheint da:

    "not authorized"
     
  8. Anonymous

    Anonymous Erfahrener Benutzer
    Mitarbeiter

    Registriert seit:
    22. Juni 2011
    Beiträge:
    4.760
    Danke erhalten:
    1.748
    Danke vergeben:
    137
    Du hast den Teil „logge dich als Admin ein“ ignoriert.
     
  9. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    7. April 2014
    Beiträge:
    174
    Danke erhalten:
    8
    Danke vergeben:
    48

    Wollte das testen. Lade die Datei ins Hauptverzeichnis. Logge mich als Admin ein. Klicke auf den Link und nichts passiert. Muß der Link irgendwie abgeändert werden? Stehe komplett auf dem Schlauch.
     
  10. Anonymous

    Anonymous Erfahrener Benutzer
    Mitarbeiter

    Registriert seit:
    22. Juni 2011
    Beiträge:
    4.760
    Danke erhalten:
    1.748
    Danke vergeben:
    137
    Du musst natürlich die Adresse deines eigenen Shops verwenden.
     
  11. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    7. April 2014
    Beiträge:
    174
    Danke erhalten:
    8
    Danke vergeben:
    48
    Danke. Hier das Ergebnis.
    Bildschirmfoto 2018-05-29 um 09.37.50.png
     
  12. Anonymous

    Anonymous Mitglied

    Registriert seit:
    22. November 2016
    Beiträge:
    18
    Danke erhalten:
    2
    Danke vergeben:
    7
    Hallo,
    ich habe es ebenfalls probiert, scheint aber alles ok zu sein.
    Ich habe heute von Paypal einen Brief erhalten mit den gleichen Infos und dass sie mich schon seit 2 Jahren versuchen würden zu erreichen. Richtig ist, sie haben immer mal wieder per Mail mich kontaktiert und ich habe auch mit einem Mitarbeiter von Paypal nicht wenig Zeit am Telefon verbracht um herauszufinden, was das soll. Der konnte mir aber auch nicht wirklich weiterhelfen.

    Gibt es inzwischen da weiteres Infos was das soll?
     
  13. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. Oktober 2011
    Beiträge:
    967
    Danke erhalten:
    149
    Danke vergeben:
    130
    Wir haben auch heute diesen Brief bekommen.
     
  14. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    11. Februar 2015
    Beiträge:
    1.291
    Danke erhalten:
    398
    Danke vergeben:
    237
    Ganz allerliebst!
    Ich habe den Brief auch bekommen. Wenn ich mich in PayPal einlogge dann wird mir ebenfalls per Popup gesagt ich muß meine Sicherheitseinstellungen aktualisieren. Wie das gehen soll steht auf ihrer Microsite zum Thema Serversicherheit.
    Wenn ich die aufrufen will sehe ich das hier:

    2018-06-20_202109.jpg
     
  15. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    5. April 2017
    Beiträge:
    1.424
    Danke erhalten:
    339
    Danke vergeben:
    163
    Habt Ihr PAYPAL oder PAYPAL+ ?

    Bei uns ist alles wie immer und keine Post ...
     
  16. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. November 2015
    Beiträge:
    2.507
    Danke erhalten:
    415
    Danke vergeben:
    1.234
    Heute kam eine Mail von Paypal, vielleicht hängt das ja irgendwie zusammen?

    Aktualisieren Sie Ihren Browser, um die PayPal-Website weiter zu nutzen

    Ihr momentaner Webbrowser erfüllt nicht unsere Sicherheitsstandards und wird daher bald nicht mehr unterstützt. Aktualisieren Sie ihn gleich jetzt – es dauert nicht lange.

    PayPal wird veraltete Browser nicht mehr unterstützen und erfüllt damit den neuen PCI Data Security Standard (PCI DSS). Dieser Standard ist für alle Websites verpflichtend, die Zahlungsdaten verarbeiten.

    Ihre persönlichen Finanzdaten bleiben natürlich auch während dieses Wechsels sicher bei uns gespeichert. Sie müssen nur den Browser auf jedem Gerät aktualisieren, auf dem Sie nach dem 30. Juni die PayPal-Website aufrufen. Das geht ganz leicht. Führen Sie einfach die folgenden Schritte aus.

    So aktualisieren Sie Ihre Browser:

    Schritt 1: Finden Sie heraus, mit welchem Browser Sie auf Ihrem Computer, Tablet oder Handy die PayPal-Website aufrufen.

    Schritt 2: Überprüfen Sie, welches Betriebssystem Sie haben und welche Browser aktualisiert werden müssen.

    Schritt 3: Öffnen Sie Ihren Browser und befolgen Sie die Anweisungen zur Aktualisierung.

    Wiederholen Sie diese Schritte für alle Geräte und Browser, mit denen Sie die PayPal-Website aufrufen.
     
  17. NIKKI

    NIKKI Erfahrener Benutzer

    Registriert seit:
    5. April 2016
    Beiträge:
    64
    Danke erhalten:
    1
    Danke vergeben:
    9
    Habe den Brief heute auch bekommen.

    Im Brief steht: " Unsere Aufzeichnungen zeigen, dass Ihre Paypal-Integration ein älteres Verschlüsselungsprotokoll verwendet."

    Ganz unten steht: "Die Testumgebung zeigt die Nachricht "Paypal_Connection_OK" an, wenn Sie die Aktualisierung korrekt abgeschlossen haben.

    Wenn man den oben erwähnten Test von Gambio also durchführt und es wird als OK angezeigt, sollte die Sache damit erledigt sein.

    Da macht Paypal ja einen unglaublichen Wind, bei Leuten wo längst alles im grünen Bereich ist.
    Ich habe keinen Handschlag an irgendwas geändert.

    Paypal meckert bei jedem Login, dass ich endlich handeln soll. Gambio sagt, dass alles i.O. ist.
    Hoffen wir mal, dass die Aufzeichnungen von Paypal nicht aktuell sind und nach dem 30.6. alles wie gewohnt funktioniert.
    Alles in allem nicht supergummigut und vertrauensfördernd von Paypal.

    ;-)
    ride on.
     
  18. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    5. April 2017
    Beiträge:
    1.424
    Danke erhalten:
    339
    Danke vergeben:
    163
    Wenn Du wirklich sicher sein willst, verlasse Dich auf das was PayPal sagt und handel entsprechend. Wenn Deine Kunden im Juli nicht mehr über PayPal zahlen können kann der Schaden schnell groß sein ...
    ... und dann wird es nicht wirklich etwas bringen Gambio an die Wand zu stellen und zu jammern dass doch alles okay gewesen ist.

    jm2c
     
  19. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    26. November 2015
    Beiträge:
    2.507
    Danke erhalten:
    415
    Danke vergeben:
    1.234
    Kann man denn wirklich sicher sein, dass es wirklich von Paypal kommt? Frage, weil die Virenscanner Alarm schlagen wegen Phishingmail und so...
     
  20. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    11. Februar 2015
    Beiträge:
    1.291
    Danke erhalten:
    398
    Danke vergeben:
    237
    Ende letzter Woche hatte ich die Schnauze voll und bin mit meinem Shop auf einen besseren (schnelleren) Server umgezogen, auf dem alles in der aktuellsten Version liegt (TLS etc.) Es gibt auf diesem Server momentan nichts upzudaten!
    Heute Morgen habe ich eine Mail von PayPal im Postfach:

    Unsere Aufzeichnungen zeigen, dass Ihre PayPal-Integration ein älteres Verschlüsselungsprotokoll verwendet. Ergreifen Sie umgehend die folgenden Maßnahmen und aktualisieren Sie Ihre PayPal-Integration(en) auf das kryptografische Protokoll TLS 1.2 bis zum 26. Juni 2018.

    Allerdings zeigt der Header den Absender "mail2550.paypal.mkt2944.com" was ganz offensichtlich Spoof ist.
    Dafür bekomme ich eine identische Meldung angezeigt wenn ich mich in mein PayPal-Konto einlogge und diese Meldung ist dann auch echt.
    Also wird wohl diese Meldung im Account angezeigt, vollkommen unabhängig davon ob die Serverkonfiguration tatsächlich den aktuellen Anforderungen entspricht oder nicht. Quasi "prophylaktisch".
    Schwache Leistung von einer Firma wie PayPal, Panik zu verbreiten und ihre Kunden zu Handlungen aufzufordern die gar nicht notwendig sind.