Paypal: "Sicher" ist nicht sicher
Cross-Site-Scripting-Lücke trotz speziellen SSL-Zertifikaten.
19. Mai 2008
Der finnische Sicherheitsspezialist Harry Sintonen hat auf der Website der Online-Bank Paypal eine Cross-Site-Scripting-Lücke entdeckt. Peinlich ist dies insbesondere, weil PayPal auf spezielle Extended-Validation-SSL-Zertifikate (EV-SSL) setzt. Diese werden einer strengeren Prüfung unterzogen und sollen so eine höhere Sicherheit der Website garantieren. Der Site-Besucher soll sicher sein, dass er auf dem richtigen Angebot surft und nicht auf einer Phishing-Seite. Dies wird in modernen Browsern mit einer grün hinterlegten Adresszeile signalisiert.
Über das Leck soll es nun möglich sein, Pop-ups zu generieren, Cookies zu verändern und insbesondere die Login-Daten von PayPal-Nutzern umzuleiten, ohne dass sich die Farbe der Adresszeile ändert.
In einer ersten Reaktion verspricht PayPal, dass der Sicherheit seiner Nutzer höchste Priorität eingeräumt werde: Man arbeite bereits an der Schliessung der Lücke. Weiter betont die eBay-Tochter, dass die Lücke bisher nicht für Phishing-Attacken genutzt wurde.
Über das Leck soll es nun möglich sein, Pop-ups zu generieren, Cookies zu verändern und insbesondere die Login-Daten von PayPal-Nutzern umzuleiten, ohne dass sich die Farbe der Adresszeile ändert.
In einer ersten Reaktion verspricht PayPal, dass der Sicherheit seiner Nutzer höchste Priorität eingeräumt werde: Man arbeite bereits an der Schliessung der Lücke. Weiter betont die eBay-Tochter, dass die Lücke bisher nicht für Phishing-Attacken genutzt wurde.
Artikel kommentieren
