Abo
  • Services:

Internetsicherheit: Paypal musste von Leck erst überzeugt werden

Zwei junge Hacker haben Paypal gezeigt, wie man einen Webserver richtig konfiguriert. Die Sicherheitslücke war groß, die Firma reagierte trotzdem träge.

Artikel veröffentlicht am , Kai Biermann/Zeit Online
Paypal-Schließfächer bei einem Musikfestival
Paypal-Schließfächer bei einem Musikfestival (Bild: Glenn Chapman/AFP/Getty Images)

Millionen Menschen vertrauen dem Zahlungsdienstleister Paypal ihr Geld an und verschicken darüber mehr als 40 Milliarden Dollar im Quartal. Paypals Website ist der Zugang zu ihren Konten. Die Sicherheit dieser Website sollte für das Unternehmen daher an erster Stelle stehen. Dass selbst so große und so verletzliche Netzdienste bei der Technik Fehler machen, haben dem Unternehmen gerade zwei junge Männer gezeigt.

Inhalt:
  1. Internetsicherheit: Paypal musste von Leck erst überzeugt werden
  2. Monatelang nicht beseitigt

Sebastian Neef und Tim Schäfers betreiben die Seite Internetwache.org. Neef studiert Informatik, Schäfers macht gerade Abitur. Beide interessieren sich für Internetsicherheit und haben sich darauf spezialisiert, Sicherheitslecks in Websites zu suchen und darauf hinzuweisen.

Paypal ist ihnen nicht zum ersten Mal aufgefallen, sie fanden vor einiger Zeit schon einmal ein Problem. Auf einer Unterseite des Dienstes wurde eine veraltete Wordpress-Installation genutzt, die Lücken enthielt. Im Vergleich zu dem, was sie noch entdeckten, war das aber Kleinkram.

Monatelang konnten die beiden auf den Server von Paypal zugreifen und dort Dateien auslesen und herunterladen. Unter Umständen, sagen Neef und Schäfers, hätten sie den Server sogar komplett übernehmen können.

PHP-Script schlecht implementiert

Stellenmarkt
  1. Robert Bosch GmbH, Renningen
  2. Applied Materials GmbH und Co KG, Alzenau

Im Dezember vergangenen Jahres entdeckte Neef das Problem. Routinemäßig schaute er den Quelltext von Websites an. Im Quelltext von www.paypal.com fiel ihm etwas auf. Dort war ein Script eingebaut, um Dateien vom Server nachzuladen und auf der Website einzubinden. Eigentlich brauchen solche PHP-Scripts Grenzen, klare Parameter, was sie laden dürfen und was nicht. Das von Paypal hatte diese Grenzen nicht, es durfte sich alles vom Server holen.

In ihrem Blog schreiben die beiden dazu: "Die Sicherheitslücke entdeckten wir im Quelltext einer Paypal-Seite, denn dort wurde auf die Paypal API zugegriffen, um Dateien vom Server herunterzuladen und in die Seite einzubinden."

Neef sah das Problem sofort. Die Lücke ist bekannt, sie hat sogar einen Namen: Path-Traversal oder auch Directory-Traversal. Mit Raten und Ausprobieren können sich Angreifer damit den Dateipfad entlanghangeln, an die Dateien auf dem Server gelangen und so Stück für Stück nachschauen, welche Informationen dort liegen und diese herunterladen. Den beiden von der Internetwache gelang es beispielsweise, eine Datei namens passwd herunterzuholen, die zu den Systemdateien gehört.

In der Datei standen keine Passwörter, aber an dieser Stelle hörten sie auf und informierten Paypal. "Wir hätten mehr herunterladen können", sagt Schäfers. "Das waren die Root-Server, da läuft alles drüber. Wir hätten den gesamten Quellcode von Paypal auslesen können." Doch sie sind white hats - gute Hacker. Sie wollen nichts kaputt machen, sondern nur zeigen, dass es theoretisch möglich ist. Was es nicht leichter macht, die Betroffenen zu überzeugen, dass sie ein Problem haben.

Monatelang nicht beseitigt 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  2. 4,99€
  3. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)

YoungManKlaus 19. Sep 2013

klarer fall von "zu viele köche verderben den brei" imo ... requirements-engineer...

YoungManKlaus 19. Sep 2013

obviously mal ganz davon abgesehen warum man eine js-datei überhaupt über ein server...

caso 19. Sep 2013

genau

LordSiesta 19. Sep 2013

Ist wie bei den Kernkraftwerken, wenn wieder eins kaputt geht, bei denen besteht auch...

Endwickler 19. Sep 2013

Sach mal, äh, bist du ein absoluter Forenneuling? Hier gibt man nie!! Antworten. Wo...


Folgen Sie uns
       


Far Cry 5 - Fazit

Im Fazit zu Far Cry 5 zeigen wir dumme Gegner, schöne Grafik und erklären, wie Ubisoft erneut viel Potenzial verschenkt.

Far Cry 5 - Fazit Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

    •  /