Original-URL des Artikels: https://www.golem.de/news/internetsicherheit-paypal-musste-von-leck-erst-ueberzeugt-werden-1309-101677.html    Veröffentlicht: 19.09.2013 10:12    Kurz-URL: https://glm.io/101677

Internetsicherheit

Paypal musste von Leck erst überzeugt werden

Zwei junge Hacker haben Paypal gezeigt, wie man einen Webserver richtig konfiguriert. Die Sicherheitslücke war groß, die Firma reagierte trotzdem träge.

Millionen Menschen vertrauen dem Zahlungsdienstleister Paypal ihr Geld an und verschicken darüber mehr als 40 Milliarden Dollar im Quartal. Paypals Website ist der Zugang zu ihren Konten. Die Sicherheit dieser Website sollte für das Unternehmen daher an erster Stelle stehen. Dass selbst so große und so verletzliche Netzdienste bei der Technik Fehler machen, haben dem Unternehmen gerade zwei junge Männer gezeigt.

Sebastian Neef und Tim Schäfers betreiben die Seite Internetwache.org. Neef studiert Informatik, Schäfers macht gerade Abitur. Beide interessieren sich für Internetsicherheit und haben sich darauf spezialisiert, Sicherheitslecks in Websites zu suchen und darauf hinzuweisen.

Paypal ist ihnen nicht zum ersten Mal aufgefallen, sie fanden vor einiger Zeit schon einmal ein Problem. Auf einer Unterseite des Dienstes wurde eine veraltete Wordpress-Installation genutzt, die Lücken enthielt. Im Vergleich zu dem, was sie noch entdeckten, war das aber Kleinkram.

Monatelang konnten die beiden auf den Server von Paypal zugreifen und dort Dateien auslesen und herunterladen. Unter Umständen, sagen Neef und Schäfers, hätten sie den Server sogar komplett übernehmen können.

PHP-Script schlecht implementiert

Im Dezember vergangenen Jahres entdeckte Neef das Problem. Routinemäßig schaute er den Quelltext von Websites an. Im Quelltext von www.paypal.com fiel ihm etwas auf. Dort war ein Script eingebaut, um Dateien vom Server nachzuladen und auf der Website einzubinden. Eigentlich brauchen solche PHP-Scripts Grenzen, klare Parameter, was sie laden dürfen und was nicht. Das von Paypal hatte diese Grenzen nicht, es durfte sich alles vom Server holen.

In ihrem Blog schreiben die beiden dazu: "Die Sicherheitslücke entdeckten wir im Quelltext einer Paypal-Seite, denn dort wurde auf die Paypal API zugegriffen, um Dateien vom Server herunterzuladen und in die Seite einzubinden."

Neef sah das Problem sofort. Die Lücke ist bekannt, sie hat sogar einen Namen: Path-Traversal oder auch Directory-Traversal. Mit Raten und Ausprobieren können sich Angreifer damit den Dateipfad entlanghangeln, an die Dateien auf dem Server gelangen und so Stück für Stück nachschauen, welche Informationen dort liegen und diese herunterladen. Den beiden von der Internetwache gelang es beispielsweise, eine Datei namens passwd herunterzuholen, die zu den Systemdateien gehört.

In der Datei standen keine Passwörter, aber an dieser Stelle hörten sie auf und informierten Paypal. "Wir hätten mehr herunterladen können", sagt Schäfers. "Das waren die Root-Server, da läuft alles drüber. Wir hätten den gesamten Quellcode von Paypal auslesen können." Doch sie sind white hats - gute Hacker. Sie wollen nichts kaputt machen, sondern nur zeigen, dass es theoretisch möglich ist. Was es nicht leichter macht, die Betroffenen zu überzeugen, dass sie ein Problem haben.

Monatelang nicht beseitigt

Paypal hat für solche Fälle eine eigene Website eingerichtet. Die Firma möchte auf Fehler hingewiesen werden, ja sie fordert geradezu dazu auf, sie einzusenden. Paypal bietet dafür sogar eine Belohnung, bis zu 10.000 Dollar. Bug Bounty heißen solche Prämien im Netz, ein Kopfgeld für Fehler.

Neef und Schäfers meldeten über diese Seite das Sicherheitsleck. Sie erklärten, was sie getan und was sie gesehen hatten. Als Beleg schickten sie den Pfad ihres Angriffs mit. Die Antwort verwunderte sie ein wenig. Es sei alles in Ordnung, lautete die, das Ganze sei kein Leck. Paypal habe das gar nicht als Problem wahrgenommen, sagt Schäfers. "Sie waren der Meinung, das Script sei ja gewollt."

Nach einigem Hin und Her änderte das Unternehmen doch etwas an seiner Website; genau genommen nach drei Monaten. Mit dem Ergebnis, dass Neef und Schäfers ihren Augen wieder nicht trauten. Sie konnten die neuen Einstellungen umgehen, alles war wie zuvor. Wieder meldeten sie sich bei den Technikern der Firma. Erst dann wurde die Lücke geschlossen. Da waren erneut ein paar Wochen vergangen.

Keine Kundendaten gefährdet

Auf Anfrage mailte ein Sprecher von Paypal, man wolle nicht viel dazu sagen, um Kriminelle nicht darauf zu stoßen, nur so viel: "Wir können bestätigen, dass uns im Rahmen dieses Paypal-Bug Bounty Programms bereits Hinweise erreicht haben, jedoch zu keinem Zeitpunkt Daten unserer Kunden oder unseres Systems insgesamt gefährdet waren."

Schäfers sagt, er bezweifle diese Aussage stark. Zumal sie den Technikern erst hätten erklären müssen, wie die Kunden durch das Script gefährdet waren.

Die Höhe der Belohnung spricht für seine Sicht. Die beiden haben insgesamt eine fünfstellige Summe als Bug Bounty bekommen, für jede der beiden Meldungen mehrere Tausend Euro. Das zahlt die Firma laut ihrer eigenen Liste nur für wirklich ernste Probleme.

Immerhin zahlt Paypal für gemeldete Fehler, doch an der Beseitigung der Probleme hapert es offenbar. Das Fazit von Neef und Schäfers: "Insgesamt war die Kommunikation eher träge und langsam." Klingt erstaunlich bei einem Unternehmen, das nach eigener Aussage sein "Hauptaugenmerk" auf die Sicherheit seiner Systeme legt, wie der Sprecher schreibt.  (zeit-kb)


Verwandte Artikel:
Paypal: "Diese Phishing-Mail ist keine"   
(08.01.2013, https://glm.io/96759 )
eBay und PayPal testen Sicherheitsschlüssel   
(19.02.2007, https://glm.io/50619 )

© 1997–2019 Golem.de, https://www.golem.de/