Ein 17-jähriger deutscher Schüler hat nach eigenen Angaben aus Frust über das Bug-Bounty-Programm von PayPal eine gefundene Sicherheitslücke online veröffentlicht.

Da der Schüler aufgrund seines noch jungen Alters nicht an dem Belohnungs-Programm von PayPal teilnehmen durfte, bei dem Finder von Sicherheitslücken vom Online-Bezahldienst PayPal eine Belohnung bekommen, entschloss er sich die gefundene "Cross-Site-Scripting"-Lücke zu veröffentlichen.

Bei der gefundenen Sicherheitslücke geht es darum, dass ein Angreifer einen schadhaften Code im Suche-Feld von PayPal ausführen kann.

Qualle: http://www.gmx.net/themen/digitale-welt/sicher-im-netz/00aein0-deutscher-schueler-paypal-luecke#.channel_6.Sch%C3%BCler%20r%C3%A4cht%20sich %20an%20PayPal.925.5047

Hier (http://seclists.org/fulldisclosure/2013/May/163) der Beitrag von 17jährigen Robert Kugler.

CU rqs

Denen scheinen ihre Kunden ja wirklich völlig wurscht zu sein:

"PayPal schließt schwere Sicherheitslücke - nach zwei Wochen

Der Online-Bezahldienst PayPal hat am Mittwochabend eine Sicherheitslücke in seinem Web-Auftritt geschlossen, die seit Tagen bekannt war. Wie Heise berichtet, sei das Leck seit fünf Tagen öffentlich publik gewesen. Bei PayPal habe sogar seit ungefähr zwei Wochen von dem Problem gewusst. Die Lücke konnte durch eine einfache Cross-Site-Scripting-Attacke ausgenutzt werden. Damit hätten beliebige JavaScript-Codes in die PayPal-Site eingeschleust werden können, was Angreifern den Zugang zu Login-Daten der Kunden, also Nutzername und Passwort, ermöglicht hätte.

Die Fachleute von "Heise Security" haben bei einem Test nachvollziehen können, dass die Sicherheitslücke ein gravierendes und leicht auszunutzendes Problem ist. Sie kritisieren das geringe Tempo, mit dem die PayPal-Verantwortlichen auf die Lücke reagierten. Noch am 29. Mai habe eine Unternehmenssprecherin bestritten, dass es Hinweise auf eine Gefährdung der Zugangsdaten von PayPal-Kunden gäbe. Dies trotz der Tatsache, dass es den IT-Experten bereits Tage zuvor gelungen war, ein eigenes Login-Formular in die scheinbar sichere PayPal-Seite einzubauen. PayPal hat bis zur Veröffentlichung dieses Meldung nicht auf Anfragen von SPIEGEL ONLINE zu dem Fall geantwortet..."

Qualle: Spiegel online, HIER (http://www.spiegel.de/netzwelt/web/paypal-bezahldienst-stopft-sicherheitsluecke-nach-zwei-wochen-a-902746.html)


Gruß

Bobby