+43 699 / 18199463
office@itexperst.at
Rückrufservice
News
19 Jul 13

Sicherheitslücke bei PayPal geschlossen

PayPal hat auf einen Cross-Site-Scripting-Angriff in seinem Portal reagiert. Laut dem Unternehmen gibt es keine Anzeichen dafür, dass es zu konkreten Missbräuchen von Daten kam. Die Sicherheitslücke hätte allerdings ausgenutzt werden können, um Zugangsdaten von Nutzern zu stehlen. Dadurch hätten Cyberkriminelle beliebigen JavaScript-Code auf der Seite einfügen können.

Die Sicherheitslücke war bereits fünf Tage öffentlich bekannt gewesen. PayPal selber wusste bereits zwei Wochen vorher von der Lücke. Es ist nicht nachvollziehbar, weshalb es so lange dauerte, bis PayPal den Fehler behob. In der Regel werden solche Schwachstellen innerhalb von 24 Stunden von den Firmen ausgebessert. Von besonderer Brisanz war, dass das Problem sowie die Lösung bereits eine Woche lang im Internet diskutiert worden waren.

Der Fehler wurde von dem 17-jährigen Deutschen Robert Kugler entdeckt. Das Unternehmen hat dem Teenager die Auszahlung einer Belohnung des PayPal-Bug-Bounty-Programms allerdings verwehrt, weil er noch keine 18 Jahre alt ist. Die AGB des Belohnungsprogramms sehen aber keine Klausel vor, die Volljährigkeit voraussetzt. Laut PayPal fand keine Auszahlung einer Belohnung statt, weil der Fehler bereits zuvor von einem Sicherheitsforscher erkannt worden war. Das Unternehmen will dem Deutschen allerdings einen Anerkennungsbrief zusenden.

James Murray, Sicherheitsspezialist bei SANS:

„Cross-Site Scripting … Die Schwachstelle liegt in der unvollständigen Überprüfung der Parameter. Eine lückenlose Kontrolle der Parameter ist sehr kompliziert und bedarf besonderer Fachkenntnisse und Spezialwissen. Dennoch muss sie auf jeder Ebene – nicht nur der Anwendungsebene – durchgeführt werden. Die erforderlichen Kenntnisse werden allerdings kaum gelehrt. Ihnen wird zu wenig Beachtung geschenkt. Dies führt dazu, dass es auch weiterhin erfolgreiche SQL-Angriffe, Cross-Site-Scripting, Buffer-Overflows und andere Cyberattacken, die diese Schwachstellen ausnutzen, geben wird.“

Artikel von theregister.co.uk, 30.05.2013: PayPal denies stiffing bug-hunting teen on bounty
Artikel von h-online.com, 30.05.2013: PayPal vulnerability finally closed

 

Posted by: Christian Perst | Kategorie: Allgemein, Angriffe

Schreiben Sie uns eine Nachricht

* Pflichtfeld

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen