Sie sind hier: Home > Digital > Internet & Sicherheit > Internet > News und Tipps >

PayPal Sicherheitslücke: Robert Kugler rächt sich an Bezahldienst

...
t-online.de ist ein Angebot der Ströer Content Group

Deutscher Schüler rächt sich an PayPal

29.05.2013, 16:56 Uhr | t-online.de

PayPal Sicherheitslücke: Robert Kugler rächt sich an Bezahldienst. PayPal (Quelle: imago/Newscast)

Schüler düpiert PayPal. (Quelle: Newscast/imago)

Der 17-jährige Schüler Robert Kugler hat eine Sicherheitslücke veröffentlicht, mit der Hacker den beliebten Online-Bezahldienst PayPal recht einfach attackieren können. Zuvor hatte er dem Unternehmen den brisanten Fehler gemeldet, denn PayPal lobt dafür sogar Prämien aus. Dem findigen Schüler verweigerte das Unternehmen jedoch jegliche Belohnung.

Robert Kugler hat auf der Internetseite von PayPal eine Sicherheitslücke entdeckt, die mit einer sogenannten Cross-Site-Scripting-Attacke sehr einfach ausgenutzt werden kann. Angreifer können durch Eingabe bestimmter Zeichenketten in das Suchfeld der Seite einen Schutzmechanismus unterwandern und dann beliebige Befehle ausführen.

Über die von Kugler entdeckte Sicherheitslücke können Online-Kriminelle sensible Kundendaten stehlen. Meldet sich ein Nutzer bei seinem PayPal-Konto an, können Hacker mithilfe der Attacke zum Beispiel Nutzername und Passwort an eigene Internetserver weiterleiten. Die betroffenen Nutzer bekommen davon nichts mit. Der Branchendienst Heise Security konnte den Angriff testen und das Sicherheitsleck bestätigen.

Prämien für Sicherheitslücken

PayPal betreibt ein spezielles Bug-Bounty-Programm ("Fehler-Kopfgeld"), das Sicherheitsexperten motivieren soll, Fehler zu finden und dem Unternehmen zu melden. PayPal belohnt die Entdecker von Sicherheitslücken mit Geldprämien zwischen 390 und 3900 Euro. Viele Unternehmen bieten ähnliche Prämiensysteme an, denn es ist besser, gefundene Sicherheitslücken "zu kaufen" und so schließen zu können, als dieses Wissen Hackern und Online-Kriminellen zu überlassen.

Robert Kugler wurde nach eigener Aussage allerdings mit keiner Prämie belohnt. Um von dem Bug-Bounty-Programm profitieren zu können, müssen Teilnehmer mindestens 18 Jahre alt sein, teilte PayPal dem 17-jährigen Deutschen in einer E-Mail mit. So steht es auch in den Teilnahmebedingungen des Bug-Bounty-Programms.

PayPal ignorierte die Meldung

Aus Verärgerung machte er seine Entdeckung schließlich über eine Mailingliste öffentlich und zeigte, wie der Angriff auf die von ihm entdeckte Sicherheitslücke funktioniert. Zudem habe PayPal auch nicht auf den Wunsch des Schülers reagiert, als Entdecker der Lücke erwähnt und gewürdigt zu werden, wie Heise Security berichtet.

Kugler wurde schon öfter fündig

Robert Kugler hat schon mehrere Sicherheitslücken entdeckt. Microsoft führt ihn seit April in einer Liste von Sicherheits-Forschern, die Fehler an den Softwarekonzern gemeldet haben. Mozilla zahlte ihm bereits im vergangenen Jahr eine Prämie von etwa 1160 Euro für ein Problem, das er im Internet-Browser Firefox aufgedeckt hatte. Anfang dieses Jahres zahlte Mozilla dem Schüler etwa 2320 Euro für einen weiteren von ihm entdeckten Software-Fehler.

Bei PayPal wurde bereits im März eine ähnliche Sicherheitslücke bekannt, die sich auf ähnliche Weise ausnutzen lässt, wie die von Kugler gefundene Schwachstelle.

Sind Sie bei Facebook? Dann werden Sie ein Fan von t-online.de Digital.

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Video des Tages

Shopping
Shopping
congstar „Smart Aktion“: 300 Min, 100 SMS und 1000 MB
zu congstar.de
Shopping
Portable Bluetooth-Speaker für alle Gelegenheiten
online unter www.teufel.de
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Internet > News und Tipps

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Prepaid-Aufladung
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • MagentaCLOUD
  • Homepages & Shops
  • De-Mail
  • Freemail
  • Mail & Cloud M
  • Sicherheitspaket
  • Hotspot
  • Hilfe
© Ströer Digital Publishing GmbH 2017