Abo
  • Services:
Anzeige
Paypal-Schließfächer bei einem Musikfestival
Paypal-Schließfächer bei einem Musikfestival (Bild: Glenn Chapman/AFP/Getty Images)

Monatelang nicht beseitigt

Anzeige

Paypal hat für solche Fälle eine eigene Website eingerichtet. Die Firma möchte auf Fehler hingewiesen werden, ja sie fordert geradezu dazu auf, sie einzusenden. Paypal bietet dafür sogar eine Belohnung, bis zu 10.000 Dollar. Bug Bounty heißen solche Prämien im Netz, ein Kopfgeld für Fehler.

Neef und Schäfers meldeten über diese Seite das Sicherheitsleck. Sie erklärten, was sie getan und was sie gesehen hatten. Als Beleg schickten sie den Pfad ihres Angriffs mit. Die Antwort verwunderte sie ein wenig. Es sei alles in Ordnung, lautete die, das Ganze sei kein Leck. Paypal habe das gar nicht als Problem wahrgenommen, sagt Schäfers. "Sie waren der Meinung, das Script sei ja gewollt."

Nach einigem Hin und Her änderte das Unternehmen doch etwas an seiner Website; genau genommen nach drei Monaten. Mit dem Ergebnis, dass Neef und Schäfers ihren Augen wieder nicht trauten. Sie konnten die neuen Einstellungen umgehen, alles war wie zuvor. Wieder meldeten sie sich bei den Technikern der Firma. Erst dann wurde die Lücke geschlossen. Da waren erneut ein paar Wochen vergangen.

Keine Kundendaten gefährdet

Auf Anfrage mailte ein Sprecher von Paypal, man wolle nicht viel dazu sagen, um Kriminelle nicht darauf zu stoßen, nur so viel: "Wir können bestätigen, dass uns im Rahmen dieses Paypal-Bug Bounty Programms bereits Hinweise erreicht haben, jedoch zu keinem Zeitpunkt Daten unserer Kunden oder unseres Systems insgesamt gefährdet waren."

Schäfers sagt, er bezweifle diese Aussage stark. Zumal sie den Technikern erst hätten erklären müssen, wie die Kunden durch das Script gefährdet waren.

Die Höhe der Belohnung spricht für seine Sicht. Die beiden haben insgesamt eine fünfstellige Summe als Bug Bounty bekommen, für jede der beiden Meldungen mehrere Tausend Euro. Das zahlt die Firma laut ihrer eigenen Liste nur für wirklich ernste Probleme.

Immerhin zahlt Paypal für gemeldete Fehler, doch an der Beseitigung der Probleme hapert es offenbar. Das Fazit von Neef und Schäfers: "Insgesamt war die Kommunikation eher träge und langsam." Klingt erstaunlich bei einem Unternehmen, das nach eigener Aussage sein "Hauptaugenmerk" auf die Sicherheit seiner Systeme legt, wie der Sprecher schreibt.

 Internetsicherheit: Paypal musste von Leck erst überzeugt werden

eye home zur Startseite
YoungManKlaus 19. Sep 2013

klarer fall von "zu viele köche verderben den brei" imo ... requirements-engineer...

YoungManKlaus 19. Sep 2013

obviously mal ganz davon abgesehen warum man eine js-datei überhaupt über ein server...

caso 19. Sep 2013

genau

LordSiesta 19. Sep 2013

Ist wie bei den Kernkraftwerken, wenn wieder eins kaputt geht, bei denen besteht auch...

Endwickler 19. Sep 2013

Sach mal, äh, bist du ein absoluter Forenneuling? Hier gibt man nie!! Antworten. Wo...



Anzeige

Stellenmarkt
  1. BMF Media Information Technology GmbH, Augsburg
  2. OSRAM GmbH, Augsburg
  3. AKDB · Anstalt des öffent­lichen Rechts, Regensburg
  4. Daimler AG, Sindelfingen


Anzeige
Top-Angebote
  1. 14,99€ + 5,00€ Versand (USK 18)
  2. 129,00€ (Vergleichspreis 194€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Konkurrenz zu Amazon Echo

    Hologramm-Barbie soll digitale Assistentin werden

  2. Royal Navy

    Hubschrauber mit USB-Stick sucht Netzwerkanschluss

  3. Class-Action-Lawsuit

    Hunderte Ex-Mitarbeiter verklagen Blackberry

  4. Rivatuner Statistics Server

    Afterburner unterstützt Vulkan und bald die UWP

  5. Onlinewerbung

    Youtube will nervige 30-Sekunden-Spots stoppen

  6. SpaceX

    Trägerrakete Falcon 9 erfolgreich gestartet

  7. Hawkeye

    ZTE bricht Crowdfunding-Kampagne ab

  8. FTTH per NG-PON2

    10 GBit/s für Endnutzer in Neuseeland erfolgreich getestet

  9. Smartphones

    FCC-Chef fordert Aktivierung ungenutzter UKW-Radios

  10. Die Woche im Video

    Die Selbstzerstörungssequenz ist aktiviert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Pure Audio: Blu-ray-Audioformate kommen nicht aus der Nische
Pure Audio
Blu-ray-Audioformate kommen nicht aus der Nische

  1. Re: Dringt das Thema denn nur nach hier oder auch...

    serra.avatar | 20:11

  2. Re: Toll

    sfe (Golem.de) | 20:08

  3. Re: hmmm

    snboris | 20:06

  4. Angst vor FB? Wieso?

    Sharra | 19:37

  5. Re: Windows hat Skalierung immer noch nicht im Griff

    Desertdelphin | 19:36


  1. 14:00

  2. 12:11

  3. 11:29

  4. 11:09

  5. 10:47

  6. 18:28

  7. 14:58

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel