Monatelang nicht beseitigt

Paypal hat für solche Fälle eine eigene Website eingerichtet. Die Firma möchte auf Fehler hingewiesen werden, ja sie fordert geradezu dazu auf, sie einzusenden. Paypal bietet dafür sogar eine Belohnung, bis zu 10.000 Dollar. Bug Bounty heißen solche Prämien im Netz, ein Kopfgeld für Fehler.

Stellenmarkt
  1. Junior Aktuar (m/w/d)
    Allianz Private Krankenversicherungs-AG, Unterföhring (bei München)
  2. Senior Network and Security Engineer (f/m/d)
    EMBL Heidelberg, Heidelberg
Detailsuche

Neef und Schäfers meldeten über diese Seite das Sicherheitsleck. Sie erklärten, was sie getan und was sie gesehen hatten. Als Beleg schickten sie den Pfad ihres Angriffs mit. Die Antwort verwunderte sie ein wenig. Es sei alles in Ordnung, lautete die, das Ganze sei kein Leck. Paypal habe das gar nicht als Problem wahrgenommen, sagt Schäfers. "Sie waren der Meinung, das Script sei ja gewollt."

Nach einigem Hin und Her änderte das Unternehmen doch etwas an seiner Website; genau genommen nach drei Monaten. Mit dem Ergebnis, dass Neef und Schäfers ihren Augen wieder nicht trauten. Sie konnten die neuen Einstellungen umgehen, alles war wie zuvor. Wieder meldeten sie sich bei den Technikern der Firma. Erst dann wurde die Lücke geschlossen. Da waren erneut ein paar Wochen vergangen.

Keine Kundendaten gefährdet

Auf Anfrage mailte ein Sprecher von Paypal, man wolle nicht viel dazu sagen, um Kriminelle nicht darauf zu stoßen, nur so viel: "Wir können bestätigen, dass uns im Rahmen dieses Paypal-Bug Bounty Programms bereits Hinweise erreicht haben, jedoch zu keinem Zeitpunkt Daten unserer Kunden oder unseres Systems insgesamt gefährdet waren."

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    14./15.12.2022, virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
Weitere IT-Trainings

Schäfers sagt, er bezweifle diese Aussage stark. Zumal sie den Technikern erst hätten erklären müssen, wie die Kunden durch das Script gefährdet waren.

Die Höhe der Belohnung spricht für seine Sicht. Die beiden haben insgesamt eine fünfstellige Summe als Bug Bounty bekommen, für jede der beiden Meldungen mehrere Tausend Euro. Das zahlt die Firma laut ihrer eigenen Liste nur für wirklich ernste Probleme.

Immerhin zahlt Paypal für gemeldete Fehler, doch an der Beseitigung der Probleme hapert es offenbar. Das Fazit von Neef und Schäfers: "Insgesamt war die Kommunikation eher träge und langsam." Klingt erstaunlich bei einem Unternehmen, das nach eigener Aussage sein "Hauptaugenmerk" auf die Sicherheit seiner Systeme legt, wie der Sprecher schreibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Internetsicherheit: Paypal musste von Leck erst überzeugt werden
  1.  
  2. 1
  3. 2


YoungManKlaus 19. Sep 2013

klarer fall von "zu viele köche verderben den brei" imo ... requirements-engineer...

YoungManKlaus 19. Sep 2013

obviously mal ganz davon abgesehen warum man eine js-datei überhaupt über ein server...

caso 19. Sep 2013

genau

LordSiesta 19. Sep 2013

Ist wie bei den Kernkraftwerken, wenn wieder eins kaputt geht, bei denen besteht auch...



Aktuell auf der Startseite von Golem.de
Tesla-Fabrik
In Grünheide soll "totales Chaos" herrschen

Die Tesla-Fabrik in Grünheide hinkt ihren Produktionszielen noch weit hinterher. Es gibt zu wenig Personal oder die Mitarbeiter kündigen wieder.

Tesla-Fabrik: In Grünheide soll totales Chaos herrschen
Artikel
  1. Elbit Systems Deutschland: Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab
    Elbit Systems Deutschland
    Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab

    Vor rund einem Jahr hat das Beschaffungsamt der Bundeswehr für 600 Millionen Euro Tausende Funkgeräte aus dem Jahr 1982 nachbauen lassen. Nun werden ganz neue angeschafft.

  2. Europäischer Rat: Einigung über Bargeldobergrenze von 10.000 Euro
    Europäischer Rat
    Einigung über Bargeldobergrenze von 10.000 Euro

    Der Europäische Rat hat sich auf eine Bargeldobergrenze von 10.000 Euro verständigt. Auch Kryptowährungen sollen streng reguliert werden.

  3. Angespielt: Diablo 4 wird brutal, makaber und ein bisschen eklig
    Angespielt
    Diablo 4 wird brutal, makaber und ein bisschen eklig

    Open-World-Freiheiten, dynamische Events und eine geteilte Spielwelt: Golem.de hat Diablo 4 angespielt und mit den Entwicklern gesprochen.
    Von Olaf Bleich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Asus RTX 4080 1.689,90€, MSI 28" 4K 579€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ • Alternate: Acer Gaming-Monitor 27" 159,90€, Razer BlackWidow V2 Mini 129,90€ • 20% Extra-Rabatt bei ebay • Amazon Last Minute Angebote [Werbung]
    •  /