PayPal-Schwachstelle endlich geschlossen
Fast zwei Wochen hat sich der Zahlungsabwickler mit dem Schließen einer kritischen Lücke Zeit gelassen. Fünf Tage davon waren die PayPal-Nutzer einem hohen Angriffsrisiko ausgesetzt.
- Ronald Eikenberg
Der Zahlungsabwickler PayPal hat am Mittwochabend die seit fünf Tagen öffentlich bekannte Sicherheitslücke in seinem Portal geschlossen. Insgesamt wusste das Unternehmen rund zwei Wochen davon. Die Lücke hatte es durchaus in sich: Sie erlaubte das Einschleusen beliebigen JavaScript-Codes in die PayPal-Site. Angreifer hätten so etwa Zugangsdaten abgreifen können.
Unverständlich ist, warum sich das Unternehmen so viel Zeit gelassen hat. Schließlich kursieren sämtliche zur Ausnutzung der Lücke nötigen Informationen bereits seit vergangener Woche im Netz; es bestand akuter Handlungsbedarf. In ähnlichen Fällen reagieren die betroffenen Unternehmen meist innerhalb von 24 Stunden.
Irritierend ist auch, dass eine PayPal-Sprecherin noch am gestrigen Dienstag gegenüber heise Security erklärte, dass "zu diesem Zeitpunkt keine Hinweise darauf deuten" würden, dass die Daten der PayPal-Kunden gefährdet sind. Ungeachtet dessen, dass wir bereits einige Tage zuvor das Gegenteil bewiesen haben, indem wir unser eigenes Login-Formular in die HTTPS-geschützte PayPal-Seite einbetteten. Mit etwas krimineller Energie hätte man eine Phishing-Seite aufsetzen können, die auf den ersten Blick nicht vom Original zu unterscheiden ist.
Entdeckt hat die Schwachstelle ein 17-jähriger Schüler, der sie ursprünglich über das vor einem Jahr gestartete Belohungsprogramm (Bug Bounty Program) an das Unternehmen melden wollte. Da ihm PayPal die Teilnahme jedoch verweigerte, da er das achtzehnte Lebensjahr noch nicht erreicht hat, veröffentlichte er die Details zu seinem Fund auf der öffentlich zugänglichen Security-Mailingliste Full Disclosure – zuvor räumte er PayPal allerdings noch eine Schonfrist von einer Woche ein, die das Unternehmen verstreichen ließ. (rei)
