Paypal schließt Sicherheitsleck
XSS-Lücke

Paypal schließt Sicherheitsleck

Ebays Bezahldienst Paypal hat eine öffentlich bekannte Schwachstelle in seiner Website beseitigt, die XSS-Angriffe ermöglichte. Unklar bleibt, warum das zwei Wochen gedauert hat.

© Screenshot: WEKA; https://www.paypal.com/de/webapps/mpp/why-paypal-is-safe

XSS: Paypal hat die von einem Jugendlichen entdeckte Lücke beseitigt.

Ein 17-jähriger deutscher Schüler hat vor etwa zwei Wochen eine Sicherheitslücke in der Website des Bezahldienstes Paypal entdeckt. Er hat sie an Paypal gemeldet und wollte am Prämienprogramm des Unternehmens teilnehmen, das Belohnungen für das Melden von Schwachstellen ausschüttet. Doch die Teilnahme ist erst ab 18 Jahren vorgesehen, Paypal wies ihn daher ab.

Darüber ungehalten, veröffentlichte der Schüler die Details der Schwachstelle auf der Mailing-Liste Full-Disclosure. Vor der Veröffentlichung räumte er Paypal eine Woche Zeit ein, um die Lücke zu schließen. Doch eBays Bezahldienst ließ die Zeit offenbar ungenutzt verstreichen. Erst jetzt, nachdem die klaffende Lücke fast eine Woche lang allgemein bekannt war, hat Paypal den Fehler beseitigt.

Es handelt sich bei dieser Schwachstelle um eine so genannte XSS-Lücke (Cross-Site Scripting). Eine Web-Seite kann Script-Code, typischerweise Javascript, etwa per Link in eine Web-Seite einer fremden Domain einschleusen. Der Code wird dann an den Browser desjenigen geschickt, der den Link angeklickt hat. Der Browser führt den Code aus.

Im konkreten Fall war ein Suchformular bei Paypal unzureichend gegen derartige Angriffe abgesichert. Ein Angreifer hätte zum Beispiel Phishing-Mails im Namen von Paypal versenden können, die einen speziell konstruierten Link enthalten. Dieser Link würde völlig legitim erscheinen, da er tatsächlich zur Paypal-Seite führt. Er würde jedoch Javascript nutzen, um dem Mail-Empfänger beim Besuch der Paypal-Webseite ein Anmeldeformular zu präsentieren, das die eingegebenen Daten an den Angreifer sendet.

Der Schutz vor XSS-Angriffen besteht in aller Regel darin, dass Benutzereingaben aller Art vor der weiteren Verarbeitung gefiltert werden. Dabei werden bestimmte Zeichen und Schlüsselworte ausgesondert. Im einfachsten Fall wird mit einem regulären Ausdruck gegen eine Liste zulässiger Zeichen gefiltert. So wären etwa in einem Formularfeld für die Postleitzahl nur Ziffern zulässig.

Paypal und andere Unternehmen, die in ihren Bug-Bounty-Programmen Altersbeschränkungen vorgesehen haben, sollten diese Praxis überdenken. Mit etwas gutem Willen lässt sich bestimmt eine Lösung finden, um auch Minderjährigen die Teilnahme zu ermöglichen und dennoch die hauseigenen Juristen zufrieden zu stellen. Tipp: Lesen Sie auch unsere News zur Klage der Verbraucherzentrale gegen Paypal.

von
  Weiter zur Startseite

Mehr zum Thema

Phishing-Mails

Spam-Mails sind unterwegs, die sich an Paypal-Kunden richten. Mit dem Versprechen, "Unregelmäßigkeiten bei Ihrem Konto" aufzuklären, raten Betrüger zu…
Paypal-Identitätsdiebstahl

Sicherheitsexperten entdecken täglich 750 neue Paypal-Phishing-Seiten. Nutzer sollten ob der Gefahren für Identitätsdiebstahl also besonders…
Paypal-App

Bei dem Pilotprojekt der Paypal-App können Kunden in Berlin per Check-in auf Android-Smartphone oder iPhone bargeldlos ihre Rechnungen vor Ort…
Guthaben-Hack ist Betrug

Der Ex-Hacker Razvan Cernaianu berichtet von einer Paypal-Sicherheitslücke im Buchungssystem. Diese verdoppelt mal eben das Guthaben.
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!