Paypal-Schließfächer bei einem Musikfestival
Paypal-Schließfächer bei einem Musikfestival (Bild: Glenn Chapman/AFP/Getty Images)

Internetsicherheit Paypal musste von Leck erst überzeugt werden

Zwei junge Hacker haben Paypal gezeigt, wie man einen Webserver richtig konfiguriert. Die Sicherheitslücke war groß, die Firma reagierte trotzdem träge.

Anzeige

Millionen Menschen vertrauen dem Zahlungsdienstleister Paypal ihr Geld an und verschicken darüber mehr als 40 Milliarden Dollar im Quartal. Paypals Website ist der Zugang zu ihren Konten. Die Sicherheit dieser Website sollte für das Unternehmen daher an erster Stelle stehen. Dass selbst so große und so verletzliche Netzdienste bei der Technik Fehler machen, haben dem Unternehmen gerade zwei junge Männer gezeigt.

Sebastian Neef und Tim Schäfers betreiben die Seite Internetwache.org. Neef studiert Informatik, Schäfers macht gerade Abitur. Beide interessieren sich für Internetsicherheit und haben sich darauf spezialisiert, Sicherheitslecks in Websites zu suchen und darauf hinzuweisen.

Paypal ist ihnen nicht zum ersten Mal aufgefallen, sie fanden vor einiger Zeit schon einmal ein Problem. Auf einer Unterseite des Dienstes wurde eine veraltete Wordpress-Installation genutzt, die Lücken enthielt. Im Vergleich zu dem, was sie noch entdeckten, war das aber Kleinkram.

Monatelang konnten die beiden auf den Server von Paypal zugreifen und dort Dateien auslesen und herunterladen. Unter Umständen, sagen Neef und Schäfers, hätten sie den Server sogar komplett übernehmen können.

PHP-Script schlecht implementiert

Im Dezember vergangenen Jahres entdeckte Neef das Problem. Routinemäßig schaute er den Quelltext von Websites an. Im Quelltext von www.paypal.com fiel ihm etwas auf. Dort war ein Script eingebaut, um Dateien vom Server nachzuladen und auf der Website einzubinden. Eigentlich brauchen solche PHP-Scripts Grenzen, klare Parameter, was sie laden dürfen und was nicht. Das von Paypal hatte diese Grenzen nicht, es durfte sich alles vom Server holen.

In ihrem Blog schreiben die beiden dazu: "Die Sicherheitslücke entdeckten wir im Quelltext einer Paypal-Seite, denn dort wurde auf die Paypal API zugegriffen, um Dateien vom Server herunterzuladen und in die Seite einzubinden."

Neef sah das Problem sofort. Die Lücke ist bekannt, sie hat sogar einen Namen: Path-Traversal oder auch Directory-Traversal. Mit Raten und Ausprobieren können sich Angreifer damit den Dateipfad entlanghangeln, an die Dateien auf dem Server gelangen und so Stück für Stück nachschauen, welche Informationen dort liegen und diese herunterladen. Den beiden von der Internetwache gelang es beispielsweise, eine Datei namens passwd herunterzuholen, die zu den Systemdateien gehört.

In der Datei standen keine Passwörter, aber an dieser Stelle hörten sie auf und informierten Paypal. "Wir hätten mehr herunterladen können", sagt Schäfers. "Das waren die Root-Server, da läuft alles drüber. Wir hätten den gesamten Quellcode von Paypal auslesen können." Doch sie sind white hats - gute Hacker. Sie wollen nichts kaputt machen, sondern nur zeigen, dass es theoretisch möglich ist. Was es nicht leichter macht, die Betroffenen zu überzeugen, dass sie ein Problem haben.

Monatelang nicht beseitigt 

YoungManKlaus 19. Sep 2013

klarer fall von "zu viele köche verderben den brei" imo ... requirements-engineer...

YoungManKlaus 19. Sep 2013

obviously mal ganz davon abgesehen warum man eine js-datei überhaupt über ein server...

caso 19. Sep 2013

genau

LordSiesta 19. Sep 2013

Ist wie bei den Kernkraftwerken, wenn wieder eins kaputt geht, bei denen besteht auch...

Endwickler 19. Sep 2013

Sach mal, äh, bist du ein absoluter Forenneuling? Hier gibt man nie!! Antworten. Wo...

Kommentieren



Anzeige

  1. Sachbearbeiterin / Sachbearbeiter IT-Verfahren
    Bundeskartellamt, Bonn
  2. Manager Procurement Processes & Systems (m/w)
    Fresenius Medical Care Deutschland GmbH, Bad Homburg
  3. Softwareentwickler (.NET) (m/w)
    dawin GmbH, Troisdorf
  4. Cloud Consultants (m/w)
    Storm Reply, Hamburg

 

Detailsuche


Top-Angebote
  1. NEU: Diablo III: Reaper of Souls (Add-on)
    19,97€
  2. Blu-ray Box-Sets reduziert
    (u. a. Fast & Furious 1-6 26,97€, Zurück in die Zukunft 1-3 14,97€, Jurassic Park Ultimate...
  3. Blu-rays je 9,97 EUR
    (u. a. The Purge Anarchy, Ich einfach unverbesserlich 3D, I Am Ali)

 

Weitere Angebote


Folgen Sie uns
       


  1. Mozilla

    Firefix OS will auch in Industriestaaten auf den Billigmarkt

  2. Sony Xperia Z4 Tablet im Hands On

    Gespenstisch leicht

  3. 14-nm-Fertigung

    Qualcomms Snapdragon 820 nutzt die neue Kryo-Architektur

  4. MIPS Creator CI20 angetestet

    Die Platine zum Pausemachen

  5. Bündelung

    Telekom nennt Preise für bundesweites Hybrid-Angebot

  6. Spectre x360 mit 13 Zoll

    HPs neues Convertible tritt gegen Lenovos Yoga an

  7. Daimler

    Autos kommen bald ohne Fahrer aus

  8. Nikon Cooplix P900

    Das Monster mit 83fachem Zoom

  9. Qualcomm Sense ID

    3D-Fingerabdruckleser für Handys arbeitet mit Ultraschall

  10. Xperia M4 Aqua im Hands on

    Sonys preisgünstiger Einstieg in die Unterwasserwelt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Galaxy S6 und Edge-Variante: Samsungs neue Top-Smartphones im Glaskleid
Galaxy S6 und Edge-Variante
Samsungs neue Top-Smartphones im Glaskleid
  1. Exynos 7 Octa Schneller Prozessor des Galaxy S6 wird in 14 nm gefertigt
  2. Qualcomm-Prozessor LG widerspricht Hitzeproblemen beim Snapdragon 810
  3. Hitzeprobleme Galaxy S6 erscheint ohne Qualcomms Snapdragon 810

Test USB 3.1 mit Stecker Typ C: Die Alleskönner-Schnittstelle
Test USB 3.1 mit Stecker Typ C
Die Alleskönner-Schnittstelle
  1. Mit Stecker Typ C Asrock stattet Intel-Mainboards mit USB-3.1-Karte aus
  2. Datentransfer Forscher schicken 100 GBit/s per Lichtstrahl durch die Luft
  3. USB 3.1 Richtig schnelle Mangelware

Spieldesign: Spiele sollen sich nicht wie Filme anfühlen
Spieldesign
Spiele sollen sich nicht wie Filme anfühlen
  1. Steam Valve kündigt neues VR-Headset an
  2. Microsoft Xbox One wird wohl ab Sommer zum Dev Kit
  3. Games PS4 und Xbox One bei Spielentwicklern beliebter

  1. Re: Bitte endlich was mit Zukunft

    plutoniumsulfat | 13:47

  2. Re: Toll, was soll ich mit den Billigsmartphones?

    Jasmin26 | 13:47

  3. Re: Juni erst?

    Bouncy | 13:47

  4. Re: Ich WILL

    JanZmus | 13:46

  5. Re: Warum passt man sich Apple an ?

    cepe | 13:46


  1. 13:35

  2. 12:47

  3. 12:19

  4. 12:02

  5. 11:57

  6. 11:42

  7. 11:39

  8. 11:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel