Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet Peinliche Sicherheitspanne bei Paypal

Ausgerechnet die Web-Seiten des wohl größten Online-Bezahldienstes wiesen bis vor wenigen Tagen an sehr zentraler Stelle eine Sicherheitslücke auf. Betrüger hätten sie ausnutzen können, um etwa dessen Kunden auszuspionieren. Kurz nach der Benachrichtigung durch heise Security beseitigte Paypal die Lücke. Zu weiteren Informationen etwa dazu, wie ein so gravierendes Sicherheitsproblem unbemerkt bleiben konnte, sah sich die eBay-Tochter jedoch außer Stande.

Einem Leser war aufgefallen, dass die Suche auf den Paypal-Seiten die Benutzereingaben nicht richtig filterte, und es somit ganz leicht möglich war, etwa über eine speziell präparierte URL Code in deren Web-Seiten einschleusen konnte. Dieses Problem betraf die SSL-gesicherten Seiten unter
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
wo auch der Kunden-Login stattfindet und über die auch Bezahlvorgänge abgewickelt werden. Warum derartige Cross-Site-Scripting-Lücken ein echtes Sicherheitsproblem sind, erläutert der heisec-Artikel
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.

Paypal wirbt sehr intensiv mit dem Thema Sicherheit und präsentiert unter anderem auch ein Zertifikat des TÜV Saarlands als "
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
". Reinhold Scheffel, Geschäftsführer der prüfenden Firma tekit Consult weist zur Erklärung lediglich darauf hin, dass "zum Zeitpunkt der Prüfung der von [..] beschriebene Fehler nicht unbedingt schon vorhanden sein musste".

Paypal selbst sah sich nicht im Stande eine unserer konkreten Fragen zu diesem Vorfall zu beantworten. Dass Cross Site Scripting Probleme (XSS) sehr weit verbreitet sind, ist kein Geheimnis. Auch auf den Web-Seiten von Banken finden sich immer wieder derartige Lücken. Erst letztes Jahr deckte ein Schüler
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
derartige Sicherheitslücken auf. Dass jedoch ausgerechnet der Branchen-Primus in Sachen Online-Bezahlen an einer derart exponierten Stelle eine so einfach zu findende Lücke aufweist, erschüttert dann doch. (ju)

Quelle: heise.de
 
Zuletzt bearbeitet:
Zum Vergrößern anklicken....
Hacktivisten kündigen "Operation Fuck PayPal" an

Hacktivisten der Gruppe "p0isan0n" - gebildet aus Mitgliedern von "Team Poison" sowie Anonymous - haben offenbar Pläne, den Online-Bezahldienst PayPal erneut zum Ziel hacktivistischer Aktionen zu machen. Im Rahmen der "Operation Fuck PayPal" soll es jedoch keine DDoS-Angriffe geben. Vielmehr geht es um einen massiven Boykott-Aufruf gegen das Unternehmen.

Link veralten (gelöscht), häuften sich in letzter Zeit Fälle, in denen PayPal die Konten von Kunden einfror und erst nach einem langwierigen, viele persönliche Informationen verlangenden Authentifizierungs-Prozess wieder freigab. Dies, so "p0isan0n", stelle einen massiven Eingriff in die Privatsphäre und
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
der betroffenen Kunden dar und zeige, dass PayPal sich nicht für die Belange seiner Kunden interessiere. Die Hacktivisten warnen, es sei nicht unwahrscheinlich, dass es irgendwann in der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
einen Einbruch in die Server von PayPal geben werde und die angesammelten Daten dann veröffentlicht oder missbraucht würden. Daher werde man das Verhalten PayPals in dieser Frage nicht tolerieren.

Die Hacktivisten riefen daher die "Operation Fuck PayPal" ins Leben. Dabei will man allerdings nicht durch DDoS-Angriffe oder ähnliche
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
gegen das Unternehmen vorgehen. Dies, so die Hacktivisten, würde nur eine Ausrede liefern, dass die Polizei mit einem massiven Budget ausgestattet werde, um unvorsichtige Hacktivisten ausfindig zu machen und festzunehmen. Stattdessen will man PayPal da treffen, "wo es wehtut". Die Hacktivisten versuchen daher, möglichst viele Menschen zu einer Umstellung von PayPal auf andere Zahlungsdienste zu bewegen.

PayPal wurde nach der Schließung des WikiLeaks-Spendenkontos Ende 2010 schon einmal Ziel von Aktionen durch Anonymous-Hacktivisten. Damals ging man allerdings unter anderem mit massiven DDoS-Angriffen gegen das Unternehmen vor. Die Entscheidung der Hacktivisten, dieses Mal auf legale Mittel zu setzen, ist durchaus interessant. Es wird sich zeigen, ob dies lediglich eine Einzelfall-Entscheidung ist oder der Beginn eines durch das massive behördliche Vorgehen gegen Hacktivisten mit bedingten Trends.
Du musst dich Anmelden oder Registrieren um diesen link zusehen!


Quelle: Gulli
 

Ähnliche Themen

edgonzo
  • Artikel
Handy - Navigation Betrug mit Netto-App tritt in Verbindung mit PayPal gehäuft auf!
Antworten
3
Aufrufe
2K
Lecter
Lecter
u040201
  • Artikel
Hardware & Software Alert! Cisco-Sicherheitsupdates: Angreifer könnten durch Lücken in Netzwerke eindringen
Antworten
0
Aufrufe
697
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Groupware Zimbra: Updates stopfen mehrere Sicherheitslecks
Antworten
0
Aufrufe
700
u040201
u040201
josef.13
  • Artikel
Hardware & Software Kritische Sicherheitslücke bedroht End-of-Life-Router von Cisco
Antworten
1
Aufrufe
879
josef.13
josef.13
u040201
  • Artikel
Hardware & Software Alert! Aruba: Kritische Sicherheitslücke in Access Points
Antworten
0
Aufrufe
975
u040201
u040201
Zurück
Oben