Deutscher Schüler rächt sich an PayPal

Der 17-jährige Schüler Robert Kugler hat eine Sicherheitslücke veröffentlicht, mit der Hacker den beliebten Online-Bezahldienst PayPal recht einfach attackieren können. Zuvor hatte er dem Unternehmen den brisanten Fehler gemeldet, denn PayPal lobt dafür sogar Prämien aus. Dem findigen Schüler verweigerte das Unternehmen jedoch jegliche Belohnung.

Robert Kugler hat auf der Internetseite von PayPal eine Sicherheitslücke entdeckt, die mit einer sogenannten Cross-Site-Scripting-Attacke sehr einfach ausgenutzt werden kann. Angreifer können durch Eingabe bestimmter Zeichenketten in das Suchfeld der Seite einen Schutzmechanismus unterwandern und dann beliebige Befehle ausführen.

Über die von Kugler entdeckte Sicherheitslücke können Online-Kriminelle sensible Kundendaten stehlen. Meldet sich ein Nutzer bei seinem PayPal-Konto an, können Hacker mithilfe der Attacke zum Beispiel Nutzername und Passwort an eigene Internetserver weiterleiten. Die betroffenen Nutzer bekommen davon nichts mit. Der Branchendienst Heise Security konnte den Angriff testen und das Sicherheitsleck bestätigen.

Prämien für Sicherheitslücken

PayPal betreibt ein spezielles Bug-Bounty-Programm („Fehler-Kopfgeld“), das Sicherheitsexperten motivieren soll, Fehler zu finden und dem Unternehmen zu melden. PayPal belohnt die Entdecker von Sicherheitslücken mit Geldprämien zwischen 390 und 3900 Euro. Viele Unternehmen bieten ähnliche Prämiensysteme an, denn es ist besser, gefundene Sicherheitslücken „zu kaufen“ und so schließen zu können, als dieses Wissen Hackern und Online-Kriminellen zu überlassen.

Robert Kugler wurde nach eigener Aussage allerdings mit keiner Prämie belohnt. Um von dem Bug-Bounty-Programm profitieren zu können, müssen Teilnehmer mindestens 18 Jahre alt sein, teilte PayPal dem 17-jährigen Deutschen in einer E-Mail mit. So steht es auch in den Teilnahmebedingungen des Bug-Bounty-Programms.

PayPal ignorierte die Meldung

Aus Verärgerung machte er seine Entdeckung schließlich über eine Mailingliste öffentlich und zeigte, wie der Angriff auf die von ihm entdeckte Sicherheitslücke funktioniert. Zudem habe PayPal auch nicht auf den Wunsch des Schülers reagiert, als Entdecker der Lücke erwähnt und gewürdigt zu werden, wie Heise Security berichtet.

Kugler wurde schon öfter fündig

Robert Kugler hat schon mehrere Sicherheitslücken entdeckt. Microsoft führt ihn seit April in einer Liste von Sicherheits-Forschern, die Fehler an den Softwarekonzern gemeldet haben. Mozilla zahlte ihm bereits im vergangenen Jahr eine Prämie von etwa 1160 Euro für ein Problem, das er im Internet-Browser Firefox aufgedeckt hatte. Anfang dieses Jahres zahlte Mozilla dem Schüler etwa 2320 Euro für einen weiteren von ihm entdeckten Software-Fehler.

Bei PayPal wurde bereits im März eine ähnliche Sicherheitslücke bekannt, die sich auf ähnliche Weise ausnutzen lässt, wie die von Kugler gefundene Schwachstelle.