Kritische PayPal Sicherheitslücken legen Angreifern Kreditkartendaten, Kontostände und Zahlungsbewegungen offen!

PayPals “Bug Bounty” Programm funktioniert anscheinend nicht wie es die Initiatoren vorgesehen haben.

Neil Smith von Zing Checkout fand heraus, dass es möglich ist durch diverse “Bypass” und “Cross Site Scripting (XSS)” Lücken, Zugriff zu öffentlich verfügbaren administrativen PayPal Backends zu erlangen.
Diese administrativen PayPal Backends gewähren “normalerweise” Mitarbeitern von Paypal einen Einblick in den Kundenstamm.

Im Juli diesen Jahres, gelang es aber Zugriff auf jene PayPal Backends zu erlangen. Um keine Straftat zu begehen, implizierte Neil Smith zuvor eine Google Suchanfrage auf die verfügbaren “PayPal Administrative Tools” Seiten.
Zu einem späteren Zeitpunkt berichtet Neil Smith, nach enger Zusammenarbeit mit dem Chief Security Officer von PayPal Michael Barrett, dass es erschreckend war, durch eine Sicherheitslücke Einsicht in einen so riesigen Datenbestand zu bekommen.

Eigentlich ist für solch einen Fall vom “Finden eines Bugs”, das “Bug Bounty” Programm vorgesehen.

Durch ein “Bug Bounty” Programm soll durch eine finanzielle Vergütung sichergestellt werden, dass wenn Bugs/Fehler in einem System gefunden werden, diese vorerst “nicht” veröffentlicht, sondern dem Betreiber oder Entwickler gemeldet werden.
Hierbei steht jedoch dem Unternehmen, das hinter einem “Bug Bounty” Programm steht, frei, den Bug “fair” zu klassifizieren. Von dieser Klassifizierung, hängt am Ende die Vergütungssumme ab.
Es muss jedoch dazu gesagt werden, dass für die Mehrheit der Forscher oder Finder dieser Lücken nicht die finanzielle Vergütung  im Vordergrund steht. Auf dem Schwarzmarkt, sind solche Lücken um ein Vielfaches mehr Wert als in einem “Bug Bounty” Programm.

Jedoch hat nach Ansicht der Beteiligten PayPal in diesem Fall nicht “fair” und professionell gehandelt.
Neil Smith wurde für die “XSS” Lücke vergütet und die Autorisations-Lücke als “invalid / nicht gültig” klassifiziert!
Nun wollte Neil Smith die Autorisations-Lücke als “full disclosure” veröffentlichen, aber dies gefiel PayPal wiederum auch nicht.

Die Lücken bestehen nach Berichten zu folge weiterhin!
Neil Smith ist verärgert, da seit seiner Bug-Meldung vom Juli diesen Jahres an PayPal, keine Einigung auf Basis des Bug Bounty Programms gefunden werden konnte.
Man muss dazu sagen, dass PayPals “Bug Bounty” Programm im Juli diesen Jahres gelaunched wurde und nach Aussagen Jennifer Hawkes (Pressesprecherin PayPal), das “Bug Bounty” Programm sich reger Teilnahme erfreut.

Einige internationale Unternehmen wie Google, Mozilla, Facebook, Samsung oder Etsy, setzen auf Unternehmensseite und auf Seiten der Forscher und “Bug Finder”, Massstäbe bei Bug Bounty Programmen.

Eine transparente Kommunikation und weniger Misstrauen der Unternehmen gegenüber den Forschern und “Bug Findern”, ist hierbei der Schlüssel für erfolgreiche “Bug Bounty” Progarmme.

(Text/Bild Quellen: scmagazine, seclist.org, livehacking.com)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*


*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>