Online-Bezahldienst: PayPal schließt schwere Sicherheitslücke - nach zwei Wochen

PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen Zur Großansicht
REUTERS

PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen

Vor zwei Wochen bei PayPal gemeldet, seit fünf Tagen öffentlich bekannt: Der Bezahldienstleister PayPal hat eine gravierende Sicherheitslücke spät geschlossen, kritisieren Experten. Der Entdecker ging trotz des Belohnungsprogramms leer aus.

Der Online-Bezahldienst PayPal hat am Mittwochabend eine Sicherheitslücke in seinem Web-Auftritt geschlossen, die seit Tagen bekannt war. Wie Heise berichtet, sei das Leck seit fünf Tagen öffentlich publik gewesen. Bei PayPal habe man sogar seit ungefähr zwei Wochen von dem Problem gewusst. Die Lücke konnte durch eine einfache Cross-Site-Scripting-Attacke ausgenutzt werden. Damit hätten beliebige JavaScript-Codes in die PayPal-Site eingeschleust werden können, was Angreifern den Zugang zu Login-Daten der Kunden, also Nutzername und Passwort, ermöglicht hätte.

Die Fachleute von "Heise Security" haben bei einem Test nachvollziehen können, dass die Sicherheitslücke ein gravierendes und leicht auszunutzendes Problem ist. Sie kritisieren das geringe Tempo, mit dem die PayPal-Verantwortlichen auf die Lücke reagierten. Noch am 29. Mai habe eine Unternehmenssprecherin bestritten, dass es Hinweise auf eine Gefährdung der Zugangsdaten von PayPal-Kunden gäbe. Dies trotz der Tatsache, dass es den IT-Experten bereits Tage zuvor gelungen war, ein eigenes Login-Formular in die scheinbar sichere PayPal-Seite einzubauen. PayPal hat bis zur Veröffentlichung dieser Meldung nicht auf Anfragen von SPIEGEL ONLINE zu dem Fall geantwortet.

Entdeckt hat das Sicherheitsleck Robert Kugler, ein 17-jähriger Schüler. Im Rahmen des von PayPal ausgelobten Belohnungsprogramms Bug Bounty, das für gefundene Fehler Prämien verspricht, hatte Kugler die Lücke melden wollen. Da er das für das Programm erforderliche Mindestalter von 18 Jahren noch nicht erreicht hatte, verweigerte ihm PayPal sowohl Teilnahme als auch Zahlung. Daraufhin veröffentlichte der verärgerte Schüler alle Einzelheiten zu seiner Entdeckung in einer Mailing-Liste.

Zuvor hatte er laut "Heise Security" PayPal eine Frist von einer Woche zugestanden. Die ließ das Unternehmen verstreichen und ging nicht auf Kuglers Wunsch ein, zumindest als Entdecker des Lecks genannt und anerkannt zu werden. Die Mozilla Stiftung hat dem Schüler für gefundene Software-Fehler bereits mehrere tausend Euro Prämiengelder ausgezahlt.

meu

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 10 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Typisch amerikanisch
Zipcom 30.05.2013
Große Welle nichts dahinter. Einfach nur peinlich wie diesen Unternehmen auf den Fehler reagiert und mit dem Entdecker umgeht. Fadenscheinig wie man die eigenen Verpflichtungen umgeht. Ich bin mir sicher Paypal hat einen ganz tollen Buisness Moral Kodex den sie jedes Jahr an Mitarbeiter und Pressevertreter verteilen. Leider, wie vor allem bei amerikanischen Firmen üblich, nur ein Deckmäntelchen um damit Werbung zu machen. Gewinnmaximierung wird immer über die Moral siegen. Habs schon zu oft erlebt...
2. ist ja nicht neues...
ismus 30.05.2013
das einzige, was bei paypal sicher ist, ist, dass man sich ärgert.
3. einfach nur peinlich
footman 30.05.2013
Wie paypal mit den Kunden und Entwicklern umgeht. Da ist eine Unternehmensdiktatur. Da ist sogar google besser.
4.
mkes 30.05.2013
Zitat von sysopREUTERSVor zwei Wochen bei PayPal gemeldet, seit fünf Tagen öffentlich bekannt: Der Bezahldienstleister PayPal hat eine gravierende Sicherheitslücke spät geschlossen, kritisieren Experten. Der Entdecker ging trotz Belohnungsprogramms leer aus. http://www.spiegel.de/netzwelt/web/paypal-bezahldienst-stopft-sicherheitsluecke-nach-zwei-wochen-a-902746.html
Das hat der Junge gut gemacht. Ich hoffe, das ihm Pay"Pal" dafür nicht noch einen reinwürgt.
5.
khaja 30.05.2013
Zitat von footmanWie paypal mit den Kunden und Entwicklern umgeht. Da ist eine Unternehmensdiktatur. Da ist sogar google besser.
Hatte mal versucht einen Einkauf bei eBay über PayPal zu bezahlen. Mein Bankkonto? Nicht akzeptiert. Kreditkarte? Auch nicht akzeptiert. Antwort vom Kundendienst: Ja, wir wissen auch nicht warum, der Computer sagt nur 'Nein'. Tja, dann das Ganze halt per Nachnahme bezahlt... Wir wollen ja schließlich auch nicht die "Uns passt deine Nase nicht, deswegen behalten wir dein Geld für 180 Tage"-Politik von PayPal nicht vergessen.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Internethandel
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 10 Kommentare
Zum Autor
  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.