Gemeinsame Pressemitteilung von PayPal und gulli.com

Der Hacker Unnex hat sich im November 2010 mit einem Anliegen an die Redaktion des Newsportals gulli.com gewendet. Er fand eigenhändig eine kritische Sicherheitslücke beim Anbieter des Online-Bezahlsystems PayPal heraus und bat um eine umgehende Schließung.

Es handelte sich dabei um eine Seiten-übergreifende Aufruf-Manipulation (CSRF). Später erkannte Unnex einen Bug, der mit Clickjacking funktioniert hätte. Kugelfisch23 aus der Board-Crew des gulli:boards hat den Bug mithilfe der PayPal eigenen Sandbox überprüft und dessen Funktionsweise bestätigt. Daraufhin hat sich die Redaktionsleitung an die bei Berlin ansässige Tochtergesellschaft von PayPal gewendet. Bislang gibt es keine Anzeichen dafür, dass diese Lücken jemand anderes versuchte auszunutzen. Im Verlauf der nächsten Tage und Wochen konnten wir in Zusammenarbeit mit dem kalifornischen Mutterkonzern alle sicherheitsrelevanten Probleme bereinigen und dabei helfen, die PayPal-Kunden vor jeglichem Missbrauch zu beschützen. Jegliche Attacken per CSRF und Clickjacking sind dank der Hinweise des Datenschützers nun nicht mehr möglich.

Lars Sobiraj, der Chefredakteur von gulli.com dazu: „Zunächst möchte ich die überaus positive Zusammenarbeit mit PayPal herausstreichen. Die Damen und Herren in San Jose (Kalifornien) und ihre deutschen Kolleginnen und Kollegen haben sich stets sehr kooperativ verhalten. Wir haben selber schon oft genug erlebt, dass Unternehmen bei gleicher Gelegenheit dazu neigten, derartige Vorwürfe entweder herunterzuspielen, überhaupt nicht zu reagieren oder uns juristische Konsequenzen anzudrohen, sollten wir ihre mangelhafte IT-Sicherheit in unseren News zur Sprache bringen. Doch hier lief alles ganz anders ab. Wir wurden von den Mitarbeitern stets zeitnah darüber in Kenntnis gesetzt, wenn neue Gegenmaßnamen online waren. Der Hacker Unnex, der lieber anonym bleiben möchte, hat dann erneut angesetzt um zu prüfen, ob es keine Möglichkeiten mehr für einen Missbrauch übrig sind. Ich wünschte, so würde es immer laufen, wenn wir im Namen von Hackern und Datenschützern bei Unternehmen anklopfen, damit sie ihre Systeme wasserdicht bekommen. Die Realität stellt sich leider ganz anders dar.“

gulli.com besteht seit dem Jahr 1998. Unser Forum verfügt über 1,1 Millionen registrierte User und ist damit eines der größten im deutschsprachigen Raum. Seit 6 Jahren werden regelmäßig News und Interviews zu den Themen Datenschutz, Urheberrecht, Entertainment und IT-Security veröffentlicht. 60 Moderatoren halten in ihrer Freizeit das gulli:board mit über 12 Mio. Beiträgen und mehr als 1,3 Mio. Themen sauber. Seit dem Jahr 2008 ist der Betreiber der Website das Wiener Unternehmen Inqnet GmbH.

Frank Weyermann
Betreiber der Seiten onlinemarktplatz.de, telefonpaul.de und suchbox.net.



Kategorien: eBay

Schlagworte:,