Abo
  • Services:
Anzeige
Paypal-Schließfächer bei einem Musikfestival
Paypal-Schließfächer bei einem Musikfestival (Bild: Glenn Chapman/AFP/Getty Images)

Monatelang nicht beseitigt

Anzeige

Paypal hat für solche Fälle eine eigene Website eingerichtet. Die Firma möchte auf Fehler hingewiesen werden, ja sie fordert geradezu dazu auf, sie einzusenden. Paypal bietet dafür sogar eine Belohnung, bis zu 10.000 Dollar. Bug Bounty heißen solche Prämien im Netz, ein Kopfgeld für Fehler.

Neef und Schäfers meldeten über diese Seite das Sicherheitsleck. Sie erklärten, was sie getan und was sie gesehen hatten. Als Beleg schickten sie den Pfad ihres Angriffs mit. Die Antwort verwunderte sie ein wenig. Es sei alles in Ordnung, lautete die, das Ganze sei kein Leck. Paypal habe das gar nicht als Problem wahrgenommen, sagt Schäfers. "Sie waren der Meinung, das Script sei ja gewollt."

Nach einigem Hin und Her änderte das Unternehmen doch etwas an seiner Website; genau genommen nach drei Monaten. Mit dem Ergebnis, dass Neef und Schäfers ihren Augen wieder nicht trauten. Sie konnten die neuen Einstellungen umgehen, alles war wie zuvor. Wieder meldeten sie sich bei den Technikern der Firma. Erst dann wurde die Lücke geschlossen. Da waren erneut ein paar Wochen vergangen.

Keine Kundendaten gefährdet

Auf Anfrage mailte ein Sprecher von Paypal, man wolle nicht viel dazu sagen, um Kriminelle nicht darauf zu stoßen, nur so viel: "Wir können bestätigen, dass uns im Rahmen dieses Paypal-Bug Bounty Programms bereits Hinweise erreicht haben, jedoch zu keinem Zeitpunkt Daten unserer Kunden oder unseres Systems insgesamt gefährdet waren."

Schäfers sagt, er bezweifle diese Aussage stark. Zumal sie den Technikern erst hätten erklären müssen, wie die Kunden durch das Script gefährdet waren.

Die Höhe der Belohnung spricht für seine Sicht. Die beiden haben insgesamt eine fünfstellige Summe als Bug Bounty bekommen, für jede der beiden Meldungen mehrere Tausend Euro. Das zahlt die Firma laut ihrer eigenen Liste nur für wirklich ernste Probleme.

Immerhin zahlt Paypal für gemeldete Fehler, doch an der Beseitigung der Probleme hapert es offenbar. Das Fazit von Neef und Schäfers: "Insgesamt war die Kommunikation eher träge und langsam." Klingt erstaunlich bei einem Unternehmen, das nach eigener Aussage sein "Hauptaugenmerk" auf die Sicherheit seiner Systeme legt, wie der Sprecher schreibt.

 Internetsicherheit: Paypal musste von Leck erst überzeugt werden

eye home zur Startseite
YoungManKlaus 19. Sep 2013

klarer fall von "zu viele köche verderben den brei" imo ... requirements-engineer...

YoungManKlaus 19. Sep 2013

obviously mal ganz davon abgesehen warum man eine js-datei überhaupt über ein server...

caso 19. Sep 2013

genau

LordSiesta 19. Sep 2013

Ist wie bei den Kernkraftwerken, wenn wieder eins kaputt geht, bei denen besteht auch...

Endwickler 19. Sep 2013

Sach mal, äh, bist du ein absoluter Forenneuling? Hier gibt man nie!! Antworten. Wo...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Köln
  2. Bundesnachrichtendienst, Berlin, Bonn
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. Daimler AG, Sindelfingen


Anzeige
Spiele-Angebote
  1. 69,99€ (Release 31.03.)
  2. (-60%) 11,99€
  3. 69,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Beta 1

    MacOS Sierra 10.12.4 mit Blaulichtfilter als Nachtmodus

  2. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  3. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  4. DirectX 12

    Microsoft legt Shader-Compiler offen

  5. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  6. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  7. Innogy

    Telekom will auch FTTH anmieten

  8. Tissue Engineering

    3D-Drucker produziert Haut

  9. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  10. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Prozessoren Termin für Kaby Lake-X und Details zu den Kaby-Lake-Xeons
  2. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  3. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation

  1. Re: Deadpool - Beileid

    divStar | 22:13

  2. Re: Wie oft soll die Kuh denn noch gemolken werden?

    theFiend | 22:13

  3. Re: Ist ja gut und schön für Blockbuster ...

    theFiend | 22:11

  4. Re: Ehrlich gesagt...

    Bruce Wayne | 22:10

  5. Re: Update

    Brixia | 22:09


  1. 22:16

  2. 18:21

  3. 18:16

  4. 17:44

  5. 17:29

  6. 16:57

  7. 16:53

  8. 16:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel