PayPal-Schwachstelle veröffentlicht


Unabhängige Bug Bounty-Forscher haben kürzlich eine Schwachstelle öffentlich bekannt gemacht, die PayPals MOS (Multi-Order Shipping) Web-Anwendung betrifft. Die Schwachstelle erlaubte es Forschern, schädlichen Code in das Feld „Preset Name“ einzugeben, während die Anwendung genutzt wurde, um eine neue Versand-Voreinstellung anzulegen.

Die PayPal Corporation wurde vor der öffentlichen Bekanntmachung privat über diese Schwachstelle informiert und am 10. Mai 2014 wurde diese behoben.

Wie diese Schwachstelle ausgenutzt wurde

Zur Klarstellung, es gibt keine Berichte die bestätigen, dass diese Schwachstelle von Kriminellen genutzt wurde oder wird. Glücklicherweise wurde sie durch White-Hat-Forscher von vulnerability-lab.com aufgedeckt. Details der Exploit-Untersuchung sind in dieser Veröffentlichung nachzulesen.

Laut der Bekanntgabe erlaubte es die entdeckte Schwachstelle den Forschern, schädlichen Code in die Formularfelder zu injizieren, die den Kunden bei der Bestellung über Händler mit der PayPal MOS-Web-Anwendung präsentiert werden. Der injizierte Code würde dann ausgeführt werden, wenn Händler ihre Bestellformulare ausführen. Bei den Tests wurde der ausgeführte Code entwickelt, um gutartige Nutzdaten einzusetzen. Theoretisch hätte dieser entwickelt werden können, um Malware zu implementieren und Guthaben von Händlern zu stehlen.

Forscher führten diese Exploit-Untersuchung mit Dummy-Konten durch und es wurde nur ein Benutzerkonto mit niedriger Berechtigungsstufe für dieses Exploit benötigt.

Muss ich mir Sorgen um mein PayPal-Konto machen?

Kurze Antwort: Nein.

PayPal hat die Schwachstelle behoben und sie kann nicht mehr ausgenutzt werden.

Lange Antwort: Ja.

Aber nur, weil Sie immer etwas vorsichtig sein sollten, wenn es um Ihr Online-Geld geht.

Leser, die einen Blick auf die offizielle Bekanntgabe dieser Schwachstelle geworfen haben, finden es möglicherweise alarmierend, dass PayPal die erste Meldung am 8. August 2013 erhielt – vor ganzen neun Monaten. Bislang gibt es keine Berichte, die auf eine Ausnutzung der Schwachstelle in diesem Zeitraum hinweisen.

Achten Sie auf Phishing-Angriffe

In den auf diese Bekanntgabe folgenden Tagen ist es wahrscheinlich, dass PayPal ein offizielles Statement an seine Kunden abgeben wird. Es ist außerdem wahrscheinlich, dass Cyberkriminelle diese Möglichkeit nutzen werden, um Phishing-E-Mails und -Zielseiten zu erstellen, die die Hysterie dieser Bekanntgabe ausspielen werden. Solche Phishing-Meldungen und -Webseiten werden verwendet, um Ihre Anmeldeinformationen zu stehlen und Ihren Computer mit Finanz-Trojaner-Malware wie Zeus zu infizieren.

Werden Sie kein Opfer. Wenn Sie etwas von PayPal – oder jemandem, der sich als PayPal ausgibt – erhalten, wird empfohlen, den angezeigten Link nicht anzuklicken und selbst auf das echte PayPal.com zu navigieren.

Kann Emsisoft mich vor Dingen wie diesen schützen?

Wir bemühen uns, unsere Nutzer über wichtige Sicherheitslücken großer Webseiten, Software und Service-Anbieter zu informieren. Darüber hinaus wird das Emsisoft Internet Security-Paket mit unserer Online Armor Firewall geliefert, die es Benutzern ermöglicht, einen vollständig geschützten Banking-Modus auszuführen.

Diese Fähigkeit wird auch in der kommenden Emsisoft Internet Security 9 enthalten sein, unserer ersten voll integrierten Internet Security Suite, die jetzt zum Beta-Download und -Test unter emsi.at/beta9 bereit steht.

Wir wünschen einen schönen (schwachstellenfreien) Tag!

Senan Conrad

Weitere Artikel