Online-Bezahldienst PayPal schließt schwere Sicherheitslücke - nach zwei Wochen

Vor zwei Wochen bei PayPal gemeldet, seit fünf Tagen öffentlich bekannt: Der Bezahldienstleister PayPal hat eine gravierende Sicherheitslücke spät geschlossen, kritisieren Experten. Der Entdecker ging trotz des Belohnungsprogramms leer aus.
PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen

PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen

Foto: � Tan Shung Sin / Reuters/ REUTERS

Der Online-Bezahldienst PayPal hat am Mittwochabend eine Sicherheitslücke in seinem Web-Auftritt geschlossen , die seit Tagen bekannt war. Wie Heise berichtet, sei das Leck seit fünf Tagen öffentlich publik gewesen. Bei PayPal habe man sogar seit ungefähr zwei Wochen von dem Problem gewusst. Die Lücke konnte durch eine einfache Cross-Site-Scripting-Attacke ausgenutzt werden. Damit hätten beliebige JavaScript-Codes in die PayPal-Site eingeschleust werden können, was Angreifern den Zugang zu Login-Daten der Kunden, also Nutzername und Passwort, ermöglicht hätte.

Die Fachleute von "Heise Security" haben bei einem Test nachvollziehen können, dass die Sicherheitslücke ein gravierendes und leicht auszunutzendes Problem ist. Sie kritisieren das geringe Tempo, mit dem die PayPal-Verantwortlichen auf die Lücke reagierten. Noch am 29. Mai habe eine Unternehmenssprecherin bestritten, dass es Hinweise auf eine Gefährdung der Zugangsdaten von PayPal-Kunden gäbe. Dies trotz der Tatsache, dass es den IT-Experten bereits Tage zuvor gelungen war, ein eigenes Login-Formular in die scheinbar sichere PayPal-Seite einzubauen . PayPal hat bis zur Veröffentlichung dieser Meldung nicht auf Anfragen von SPIEGEL ONLINE zu dem Fall geantwortet.

Entdeckt hat das Sicherheitsleck Robert Kugler, ein 17-jähriger Schüler. Im Rahmen des von PayPal ausgelobten Belohnungsprogramms Bug Bounty, das für gefundene Fehler Prämien verspricht, hatte Kugler die Lücke melden wollen. Da er das für das Programm erforderliche Mindestalter von 18 Jahren noch nicht erreicht hatte, verweigerte ihm PayPal sowohl Teilnahme als auch Zahlung. Daraufhin veröffentlichte der verärgerte Schüler alle Einzelheiten zu seiner Entdeckung in einer Mailing-Liste .

Zuvor hatte er laut "Heise Security" PayPal eine Frist von einer Woche zugestanden. Die ließ das Unternehmen verstreichen und ging nicht auf Kuglers Wunsch ein, zumindest als Entdecker des Lecks genannt und anerkannt zu werden. Die Mozilla Stiftung hat dem Schüler für gefundene Software-Fehler bereits mehrere tausend Euro Prämiengelder ausgezahlt .

meu

Mehr lesen über

Internethandel
Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten