Peinliche Sicherheitspanne bei Paypal

Der wohl größte und bekannteste Online-Bezahldienst hatte bis vor wenigen Tagen ein gravierendes Sicherheitsproblem auf seinen Web-Seiten. Nach einem diesbezüglichen Hinweis von heise Security stopfte Paypal die XSS-Lücke in der Suchfunktion.

In Pocket speichern vorlesen Druckansicht 209 Kommentare lesen
Lesezeit: 2 Min.

Über eine passende URL konnte man ganz leicht Code in die Paypal-Seiten einschleusen.

Ausgerechnet die Web-Seiten des wohl größten Online-Bezahldienstes wiesen bis vor wenigen Tagen an sehr zentraler Stelle eine Sicherheitslücke auf. Betrüger hätten sie ausnutzen können, um etwa dessen Kunden auszuspionieren. Kurz nach der Benachrichtigung durch heise Security beseitigte Paypal die Lücke. Zu weiteren Informationen etwa dazu, wie ein so gravierendes Sicherheitsproblem unbemerkt bleiben konnte, sah sich die eBay-Tochter jedoch außer Stande.

Einem Leser war aufgefallen, dass die Suche auf den Paypal-Seiten die Benutzereingaben nicht richtig filterte, und es somit ganz leicht möglich war, etwa über eine speziell präparierte URL Code in deren Web-Seiten einschleusen konnte. Dieses Problem betraf die SSL-gesicherten Seiten unter https://www.paypal.com, wo auch der Kunden-Login stattfindet und über die auch Bezahlvorgänge abgewickelt werden. Warum derartige Cross-Site-Scripting-Lücken ein echtes Sicherheitsproblem sind, erläutert der heisec-Artikel Passwortklau für Dummies.

Das Video soll Kunden überzeugen, wie sicher Paypal ist.

Paypal wirbt sehr intensiv mit dem Thema Sicherheit und präsentiert unter anderem auch ein Zertifikat des TÜV Saarlands als "Geprüftes Zahlungssystem". Reinhold Scheffel, Geschäftsführer der prüfenden Firma tekit Consult weist zur Erklärung lediglich darauf hin, dass "zum Zeitpunkt der Prüfung der von [..] beschriebene Fehler nicht unbedingt schon vorhanden sein musste". Paypal selbst sah sich nicht im Stande eine unserer konkreten Fragen zu diesem Vorfall zu beantworten.

Dass Cross Site Scripting Probleme (XSS) sehr weit verbreitet sind, ist kein Geheimnis. Auch auf den Web-Seiten von Banken finden sich immer wieder derartige Lücken. Erst letztes Jahr deckte ein Schüler bei 17 deutschen Banken derartige Sicherheitslücken auf. Dass jedoch ausgerechnet der Branchen-Primus in Sachen Online-Bezahlen an einer derart exponierten Stelle eine so einfach zu findende Lücke aufweist, erschüttert dann doch. (ju)