Online-Bezahldienst PayPal schließt schwere Sicherheitslücke - nach zwei Wochen

Vor zwei Wochen bei PayPal gemeldet, seit fünf Tagen öffentlich bekannt: Der Bezahldienstleister PayPal hat eine gravierende Sicherheitslücke spät geschlossen, kritisieren Experten. Der Entdecker ging trotz des Belohnungsprogramms leer aus.
PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen

PayPal-Logo: Der Bezahldienst hat zwei Wochen gebraucht, um eine Lücke zu schließen

Foto: � Tan Shung Sin / Reuters/ REUTERS

Der Online-Bezahldienst PayPal hat am Mittwochabend eine Sicherheitslücke in seinem Web-Auftritt geschlossen , die seit Tagen bekannt war. Wie Heise berichtet, sei das Leck seit fünf Tagen öffentlich publik gewesen. Bei PayPal habe man sogar seit ungefähr zwei Wochen von dem Problem gewusst. Die Lücke konnte durch eine einfache Cross-Site-Scripting-Attacke ausgenutzt werden. Damit hätten beliebige JavaScript-Codes in die PayPal-Site eingeschleust werden können, was Angreifern den Zugang zu Login-Daten der Kunden, also Nutzername und Passwort, ermöglicht hätte.

Die Fachleute von "Heise Security" haben bei einem Test nachvollziehen können, dass die Sicherheitslücke ein gravierendes und leicht auszunutzendes Problem ist. Sie kritisieren das geringe Tempo, mit dem die PayPal-Verantwortlichen auf die Lücke reagierten. Noch am 29. Mai habe eine Unternehmenssprecherin bestritten, dass es Hinweise auf eine Gefährdung der Zugangsdaten von PayPal-Kunden gäbe. Dies trotz der Tatsache, dass es den IT-Experten bereits Tage zuvor gelungen war, ein eigenes Login-Formular in die scheinbar sichere PayPal-Seite einzubauen . PayPal hat bis zur Veröffentlichung dieser Meldung nicht auf Anfragen von SPIEGEL ONLINE zu dem Fall geantwortet.

Entdeckt hat das Sicherheitsleck Robert Kugler, ein 17-jähriger Schüler. Im Rahmen des von PayPal ausgelobten Belohnungsprogramms Bug Bounty, das für gefundene Fehler Prämien verspricht, hatte Kugler die Lücke melden wollen. Da er das für das Programm erforderliche Mindestalter von 18 Jahren noch nicht erreicht hatte, verweigerte ihm PayPal sowohl Teilnahme als auch Zahlung. Daraufhin veröffentlichte der verärgerte Schüler alle Einzelheiten zu seiner Entdeckung in einer Mailing-Liste .

Zuvor hatte er laut "Heise Security" PayPal eine Frist von einer Woche zugestanden. Die ließ das Unternehmen verstreichen und ging nicht auf Kuglers Wunsch ein, zumindest als Entdecker des Lecks genannt und anerkannt zu werden. Die Mozilla Stiftung hat dem Schüler für gefundene Software-Fehler bereits mehrere tausend Euro Prämiengelder ausgezahlt .

meu
Mehr lesen über