Der Berliner Sicherheitsexperte David Vieira-Kurz hat eine Sicherheitslücke auf der amerikanischen Webseite des Bezahldienstes PayPal ausfindig gemacht. Die virtuelle Agentin "Sarah" beinhaltet eine Cross-site Scripting Schwachstelle, die PayPal bereits mitgeteilt wurde.
David Vieira-Kurz konnte die Schwachstelle bereits Ende März dieses Jahres feststellen, die noch immer offen ist. Auf der PayPal Webpräsenz besteht die Möglichkeit, mit der virtuellen Agentin "Sarah" zu kommunizieren und Fragen an sie zu richten. Genau dort befindet sich auch der Cross-site Scripting Bug. Da die Betreiber darüber hinaus "einige" Cookies nicht mit dem "httpOnly" und "secure" Flag schützen, besteht die Möglichkeit, diese trivial auszulesen. An die kundenbezogenen Daten kommt man damit aber nicht heran. Auch handelt es sich dabei um keine serverbezogenen Zugriffe, die man ausführen könnte. Die Ursache der Schwachstelle ist eine unzureichende Validierung der Benutzereingaben. Da PayPal laut eigenen Angaben weltweit mehr als 80 Millionen Kunden hat, ist eine baldige Schließung des Bugs unumgänglich. David Vieira-Kurz steht mittlerweile in direkter Kommunikation mit dem Unternehmen und hat ihnen seinen Proof of Concept übermittelt, den er aus Sicherheitsgründen nicht veröffentlichen möchte. Auf seiner Webseite hat er aber einen Screenshot beigelegt um zu beweisen, dass sein Angriff durchgeführt werden kann.
Der IT-Experte bemängelt zudem, dass auf der Webseite des Anbieters keine direkten Ansprechpartner für die Bereiche Privacy oder Security zu finden sind. Auch bestünde aufgrund der mangelnden Informationen auf Paypal.com keine Möglichkeit, den Proof of Concept verschlüsselt zu übermitteln. Sobald wir weitere Neuigkeiten in Erfahrung bringen können, werden wir diese hier augenblicklich veröffentlichen.
Quelle: Gulli
