Der Bezahldienst PayPal ist mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Das stellte der 17-Jährige deutsche Schüler Robert Kugler fest und wollte der Ebay-Tochter den Fehler über deren offizielles Bug-Bounty-Programm melden.
Bounty-Programme belohnen Entdecker von Sicherheitslücken, wenn diese gefundene Probleme nicht sofort veröffentlichen, sondern zuerst dem Programmhersteller melden, damit der die Sicherheitslücken schnell beseitigen kann.
Das Bounty-Programm von PayPal belohnt aber nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Ärger darüber publizierte er den Bug stattdessen jetzt auf der Mailingliste Full Disclosure.
Blöd gelaufen, PayPal!
Details zu der CSS-Lücke bei Paypal finden Sie bei Heise.
Pingback: Paypal hat seine CSS-Lücke endlich geschlossen | Klaus Ahrens: News, Tipps, Tricks und Fotos