Sie sind hier: Home > Digital > Internet & Sicherheit > Internet > News und Tipps >

PayPal Sicherheitslücke: Robert Kugler rächt sich an Bezahldienst

Deutscher Schüler rächt sich an PayPal

29.05.2013, 16:56 Uhr | t-online.de

PayPal Sicherheitslücke: Robert Kugler rächt sich an Bezahldienst. PayPal (Quelle: imago/Newscast)

Schüler düpiert PayPal. (Quelle: Newscast/imago)

Der 17-jährige Schüler Robert Kugler hat eine Sicherheitslücke veröffentlicht, mit der Hacker den beliebten Online-Bezahldienst PayPal recht einfach attackieren können. Zuvor hatte er dem Unternehmen den brisanten Fehler gemeldet, denn PayPal lobt dafür sogar Prämien aus. Dem findigen Schüler verweigerte das Unternehmen jedoch jegliche Belohnung.

Robert Kugler hat auf der Internetseite von PayPal eine Sicherheitslücke entdeckt, die mit einer sogenannten Cross-Site-Scripting-Attacke sehr einfach ausgenutzt werden kann. Angreifer können durch Eingabe bestimmter Zeichenketten in das Suchfeld der Seite einen Schutzmechanismus unterwandern und dann beliebige Befehle ausführen.

Über die von Kugler entdeckte Sicherheitslücke können Online-Kriminelle sensible Kundendaten stehlen. Meldet sich ein Nutzer bei seinem PayPal-Konto an, können Hacker mithilfe der Attacke zum Beispiel Nutzername und Passwort an eigene Internetserver weiterleiten. Die betroffenen Nutzer bekommen davon nichts mit. Der Branchendienst Heise Security konnte den Angriff testen und das Sicherheitsleck bestätigen.

Prämien für Sicherheitslücken

PayPal betreibt ein spezielles Bug-Bounty-Programm ("Fehler-Kopfgeld"), das Sicherheitsexperten motivieren soll, Fehler zu finden und dem Unternehmen zu melden. PayPal belohnt die Entdecker von Sicherheitslücken mit Geldprämien zwischen 390 und 3900 Euro. Viele Unternehmen bieten ähnliche Prämiensysteme an, denn es ist besser, gefundene Sicherheitslücken "zu kaufen" und so schließen zu können, als dieses Wissen Hackern und Online-Kriminellen zu überlassen.

Robert Kugler wurde nach eigener Aussage allerdings mit keiner Prämie belohnt. Um von dem Bug-Bounty-Programm profitieren zu können, müssen Teilnehmer mindestens 18 Jahre alt sein, teilte PayPal dem 17-jährigen Deutschen in einer E-Mail mit. So steht es auch in den Teilnahmebedingungen des Bug-Bounty-Programms.

PayPal ignorierte die Meldung

Aus Verärgerung machte er seine Entdeckung schließlich über eine Mailingliste öffentlich und zeigte, wie der Angriff auf die von ihm entdeckte Sicherheitslücke funktioniert. Zudem habe PayPal auch nicht auf den Wunsch des Schülers reagiert, als Entdecker der Lücke erwähnt und gewürdigt zu werden, wie Heise Security berichtet.

Kugler wurde schon öfter fündig

Robert Kugler hat schon mehrere Sicherheitslücken entdeckt. Microsoft führt ihn seit April in einer Liste von Sicherheits-Forschern, die Fehler an den Softwarekonzern gemeldet haben. Mozilla zahlte ihm bereits im vergangenen Jahr eine Prämie von etwa 1160 Euro für ein Problem, das er im Internet-Browser Firefox aufgedeckt hatte. Anfang dieses Jahres zahlte Mozilla dem Schüler etwa 2320 Euro für einen weiteren von ihm entdeckten Software-Fehler.

Bei PayPal wurde bereits im März eine ähnliche Sicherheitslücke bekannt, die sich auf ähnliche Weise ausnutzen lässt, wie die von Kugler gefundene Schwachstelle.

Sind Sie bei Facebook? Dann werden Sie ein Fan von t-online.de Digital.

Liebe Leserinnen und Leser,

Leider können wir Ihnen nicht zu  allen Artikeln einen Kommentarbereich zur Verfügung stellen. Mehr dazu erfahren Sie in der Stellungnahme der Chefredaktion.

Eine Übersicht der aktuellen Leserdebatten finden Sie hier.

Gerne können Sie auch auf Facebook und Twitter zu unseren Artikeln diskutieren.

Ihr Community-Team

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Anzeige
Diese Winterjacken sind diese Saison im Trend
bei TOM TAILOR
Anzeige
Nur bis Sonntag: 10% Rabatt auf alles - Code "XMAS-18"
beste Schweizer Qualität bei www.calida.com
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Internet > News und Tipps

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
  • giga.de
  • desired.de
  • kino.de
  • Statista
Telekom Tarife
  • DSL
  • Telefonieren
  • Magenta TV
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2018