Ebays Tochter und Bezahldienstleister PayPal hat am Mittwochabend die öffentlich bekannte Sicherheitslücke geschlossen, von der man unternehmensintern bereits zwei Wochen lang wusste. Das Sicherheitsrisiko war dabei nicht klein. Hacker hätten problemlos JavaScript-Codes in die PayPal-Seite einschleusen können, die den Klau von Zugangsdaten ermöglicht hätten. Gerade bei einem Finanzdienstleister wie PayPal sind diese Daten hoch sensibel.
Entdeckt hat diese Sicherheitslücke ein siebzehnjähriger Schüler, der seinen Fund eigentlich über PayPals Belohnungsprogramm (Bug Bounty Program) an das Unternehmen melden wollte. Da er aber noch nicht volljährig war, verweigerte man ihm seitens des Unternehmens die Teilnahme, woraufhin der Schüler seine Erkenntnisse auf der Security-Mailingliste Full Disclosure, die öffentlich zugänglich ist, veröffentlichte. Vorher gab er PayPal aber noch eine Woche Zeit um das Sicherheitsrisiko zu beseitigen, bevor er über seinen Fund in der Öffentlichkeit schreiben würde. Diese Woche verstrich allerdings ohne, dass PayPal etwas unternahm.
Für gewöhnlich reagieren Unternehmen auf solche Hinweise binnen weniger Stunden, daher ist es unverständlich, weshalb PayPal, selbst nachdem die Sicherheitslücke bekannt war, noch eine Woche lang Zeit vergehen lies, bevor das Problem beseitigt wurde. In der Zeit waren alle Informationen, die man zum Ausnutzen der Lücke benötigt hätte, online.
Gegenüber Heise Security sagte eine PayPal-Sprecherin zudem, dass zu keinem Zeitpunkt Kundendaten gefährdet gewesen seien, obwohl Heise bereits einige Tage zuvor das Gegenteil bewiesen haben. Die Experten implementierten ein eigenes Log-In-Formular in die Seite, mit dem man ohne Weiteres eine Phishing-Seite hätte hochziehen können. Der normale User hätte den Unterschied auf keinen Fall erkennen können und seine Daten in die Maske eingegeben. Hätte ein Betrüger hinter dem Phishing-Angriff gesteckt, so hätten ihm wohlmöglich tausende Benutzer ihre Log-in-Daten übermittelt, mit denen er dann problemlos online hätte einkaufen können. Und zusätzlich mitunter unbegrenzten Zugang zu Giro-Konten der Nutzer gehabt.