Ausgerechnet die Web-Seiten des wohl größten Online-Bezahldienstes wiesen bis vor wenigen Tagen an sehr zentraler Stelle eine Sicherheitslücke auf. Betrüger hätten sie ausnutzen können, um etwa dessen Kunden auszuspionieren.

Bericht bei Heise

Kurz nach der Benachrichtigung durch heise Security beseitigte Paypal die Lücke. Zu weiteren Informationen etwa dazu, wie ein so gravierendes Sicherheitsproblem unbemerkt bleiben konnte, sah sich die eBay-Tochter jedoch außer Stande.

Einem Leser war aufgefallen, dass die Suche auf den Paypal-Seiten die Benutzereingaben nicht richtig filterte, und es somit ganz leicht möglich war, etwa über eine speziell präparierte URL Code in deren Web-Seiten einschleusen konnte. Dieses Problem betraf die SSL-gesicherten Seiten unter https://www.paypal.com, wo auch der Kunden-Login stattfindet und über die auch Bezahlvorgänge abgewickelt werden. Warum derartige Cross-Site-Scripting-Lücken ein echtes Sicherheitsproblem sind, erläutert der heisec-Artikel Passwortklau für Dummies.

  Peinliche Sicherheitspanne bei Paypal