Online-Bezahldienst PayPal schließt schwere Sicherheitslücke - nach zwei Wochen

Vor zwei Wochen bei PayPal gemeldet, seit fünf Tagen öffentlich bekannt: Der Bezahldienstleister PayPal hat eine gravierende Sicherheitslücke spät geschlossen, kritisieren Experten. Der Entdecker ging trotz des Belohnungsprogramms leer aus.

PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen
REUTERS

PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen


Der Online-Bezahldienst PayPal hat am Mittwochabend eine Sicherheitslücke in seinem Web-Auftritt geschlossen, die seit Tagen bekannt war. Wie Heise berichtet, sei das Leck seit fünf Tagen öffentlich publik gewesen. Bei PayPal habe man sogar seit ungefähr zwei Wochen von dem Problem gewusst. Die Lücke konnte durch eine einfache Cross-Site-Scripting-Attacke ausgenutzt werden. Damit hätten beliebige JavaScript-Codes in die PayPal-Site eingeschleust werden können, was Angreifern den Zugang zu Login-Daten der Kunden, also Nutzername und Passwort, ermöglicht hätte.

Die Fachleute von "Heise Security" haben bei einem Test nachvollziehen können, dass die Sicherheitslücke ein gravierendes und leicht auszunutzendes Problem ist. Sie kritisieren das geringe Tempo, mit dem die PayPal-Verantwortlichen auf die Lücke reagierten. Noch am 29. Mai habe eine Unternehmenssprecherin bestritten, dass es Hinweise auf eine Gefährdung der Zugangsdaten von PayPal-Kunden gäbe. Dies trotz der Tatsache, dass es den IT-Experten bereits Tage zuvor gelungen war, ein eigenes Login-Formular in die scheinbar sichere PayPal-Seite einzubauen. PayPal hat bis zur Veröffentlichung dieser Meldung nicht auf Anfragen von SPIEGEL ONLINE zu dem Fall geantwortet.

Entdeckt hat das Sicherheitsleck Robert Kugler, ein 17-jähriger Schüler. Im Rahmen des von PayPal ausgelobten Belohnungsprogramms Bug Bounty, das für gefundene Fehler Prämien verspricht, hatte Kugler die Lücke melden wollen. Da er das für das Programm erforderliche Mindestalter von 18 Jahren noch nicht erreicht hatte, verweigerte ihm PayPal sowohl Teilnahme als auch Zahlung. Daraufhin veröffentlichte der verärgerte Schüler alle Einzelheiten zu seiner Entdeckung in einer Mailing-Liste.

Zuvor hatte er laut "Heise Security" PayPal eine Frist von einer Woche zugestanden. Die ließ das Unternehmen verstreichen und ging nicht auf Kuglers Wunsch ein, zumindest als Entdecker des Lecks genannt und anerkannt zu werden. Die Mozilla Stiftung hat dem Schüler für gefundene Software-Fehler bereits mehrere tausend Euro Prämiengelder ausgezahlt.

meu

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
Zipcom 30.05.2013
1. Typisch amerikanisch
Große Welle nichts dahinter. Einfach nur peinlich wie diesen Unternehmen auf den Fehler reagiert und mit dem Entdecker umgeht. Fadenscheinig wie man die eigenen Verpflichtungen umgeht. Ich bin mir sicher Paypal hat einen ganz tollen Buisness Moral Kodex den sie jedes Jahr an Mitarbeiter und Pressevertreter verteilen. Leider, wie vor allem bei amerikanischen Firmen üblich, nur ein Deckmäntelchen um damit Werbung zu machen. Gewinnmaximierung wird immer über die Moral siegen. Habs schon zu oft erlebt...
ismus 30.05.2013
2. ist ja nicht neues...
das einzige, was bei paypal sicher ist, ist, dass man sich ärgert.
footman 30.05.2013
3. einfach nur peinlich
Wie paypal mit den Kunden und Entwicklern umgeht. Da ist eine Unternehmensdiktatur. Da ist sogar google besser.
mkes 30.05.2013
4.
Zitat von sysopREUTERSVor zwei Wochen bei PayPal gemeldet, seit fünf Tagen öffentlich bekannt: Der Bezahldienstleister PayPal hat eine gravierende Sicherheitslücke spät geschlossen, kritisieren Experten. Der Entdecker ging trotz Belohnungsprogramms leer aus. http://www.spiegel.de/netzwelt/web/paypal-bezahldienst-stopft-sicherheitsluecke-nach-zwei-wochen-a-902746.html
Das hat der Junge gut gemacht. Ich hoffe, das ihm Pay"Pal" dafür nicht noch einen reinwürgt.
khaja 30.05.2013
5.
Zitat von footmanWie paypal mit den Kunden und Entwicklern umgeht. Da ist eine Unternehmensdiktatur. Da ist sogar google besser.
Hatte mal versucht einen Einkauf bei eBay über PayPal zu bezahlen. Mein Bankkonto? Nicht akzeptiert. Kreditkarte? Auch nicht akzeptiert. Antwort vom Kundendienst: Ja, wir wissen auch nicht warum, der Computer sagt nur 'Nein'. Tja, dann das Ganze halt per Nachnahme bezahlt... Wir wollen ja schließlich auch nicht die "Uns passt deine Nase nicht, deswegen behalten wir dein Geld für 180 Tage"-Politik von PayPal nicht vergessen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.