Neue PayPal-Sicherheitslücke entlockt Kundendaten

Eine Sicherheitslücke auf der Webseite von PayPal, dem Online-Bezahlsystem von eBay, wird derzeit verstärkt ausgenutzt, um Kreditkartenummern und andere persönliche Daten zu stehlen. Dies berichtet der Internet-Dienstleister Netcraft. Das Ganze beginnt mit einem Link zu PayPal.com. Mittels der Cross-Site Scripting Technik werden dort andere Inhalte dargestellt, als ursprünglich vorgesehen. So denkt ein Anwender das er sich auf der echten Webseite befindet, doch in Wirklichkeit wurden die angezeigten Informationen verändert. Das gültige 256Bit SSL-Zertifikat unterstützt den User in seinem Glauben.


Auf der veränderten Webseite heißt es, dass das eigene Konto deaktiviert wurde, da ein unautorisierter Zugriff erfolgt ist. Um es wieder zu aktivieren, muss man den Anweisungen auf der nachfolgenden Webseite Folge leisten. Die Webseite, auf die man nach ein paar Sekunden automatisch weitergeleitet wird, befindet sich dann aber nicht mehr auf den PayPal-Servern.

Doch als Anwender denkt man sich: "Warum sollte mich PayPal auf eine Betrüger-Seite umleiten? Das wird schon seine Richtigkeit haben." Und genau da liegt das Problem. Folgt man den Anweisungen zur Aktivierung des Kontos, so haben die Betrüger anschließend alle Informationen zur Kreditkarte und können damit ohne Probleme einkaufen.

Bisher hat PayPal auf dieses Sicherheitsproblem noch nicht reagiert. Jeder PayPal-Kunde sollte in der nächsten Zeit keiner derartigen Meldung trauen.