Cross-Site-Scripting-Schwachstelle bei PayPal führt zu Identitätsdiebstahl
Acunetix Web Vulnerability Scanner schützt persönliche Daten
London (pts028/21.06.2006/12:00) Eine unbekannte Anzahl von Benutzern des Bezahldienstes PayPal ist am vergangenen Wochenende einem Phishing-Angriff zum Opfer gefallen. Bei dieser Hacker-Attacke wurden Kreditkartennummern und andere persönliche Informationen von PayPal-Kunden widerrechtlich abgefragt. Begünstigt wurde die Täuschung durch die Anfälligkeit einer PayPal-Anwendung für http://www.acunetix.de/websitesecurity/cross-site-scripting.htm">Cross-Site-Scripting (XSS). Der Identitätsdiebstahl war vor allem erfolgreich, weil der Code für die böswillige Aktion per XSS in die offizielle Website des Unternehmens eingeschleust worden war und die Abfrage somit vertrauenswürdig zu sein schien. Schwachstellen, die Angriffe dieser Art begünstigen, lassen sich mit Hilfe des Acunetix Web Vulnerability Scanner (WVS) auffinden und rechtzeitig beheben, bevor Kunden oder Firmen ein Schaden entsteht. Weitere Informationen zum Cross-Site-Scripting stehen bereit auf http://www.acunetix.de/websitesecurity/cross-site-scripting.htm . Produktinformationen zum Acunetix Web Vulnerability Scanner sind abrufbar über http://www.acunetix.de">www.acunetix.de.
Die PayPal-Benutzer waren von den Hackern per E-Mail kontaktiert worden, eine URL der legitimen Website des Bezahldiensts aufzurufen. Per vorheriger XSS-Manipulation wurde dann Programmcode auf der PayPal-Seite gestartet und folgende scheinbar offizielle Nachricht angezeigt: "Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to a Resolution Center." Die Opfer wurden daraufhin auf eine andere präparierte Phishing-Site in Südkorea weitergeleitet.
Dort wurde dann um Eingabe des PayPal-Benutzernames und des Passworts gebeten. Im angeblich offiziellen "Resolution Center" erfolgte schließlich die Abfrage vertraulicher Kreditkartendaten, PIN-Nummern von Bankkarten oder Sozialversicherungsnummern.
Der http://www.acunetix.de/">Acuntetix Web Vulnerability Scanner (WVS) führt automatisch Sicherheits-Audits von Web-Anwendungen und Websites durch und überprüft, ob diese beispielsweise vor Anfälligkeiten für http://www.acunetix.de/websitesecurity/cross-site-scripting.htm">Cross-Site-Scripting geschützt sind. Die selbsttätige Kontrolle seiner Webanwendungen mit Hilfe eines Sicherheits-Scanners wie Acunetix WVS hätte PayPal somit rechtzeitig vor Image-Schäden und Vertrauensverlust bewahren können. Obwohl die Schwachstelle inzwischen beseitigt ist, hat das Unternehmen noch keine weiteren Informationen bekannt gegeben, wie viele Kunden betroffen waren und ob der Angriff finanzielle Schäden verursacht hat.
Kostenfreies Web-Audit für Unternehmen zum Feststellen des Gefährdungsgrads einer Website
Unternehmen, die die Sicherheit Ihrer Website überprüfen lassen möchten, können ein kostenfreies Angebot von Acunetix wahrnehmen und sich unter http://www.acunetix.de/security-audit/ für ein Web-Audit ihrer Site registrieren. Teilnehmer erhalten nach dem Scan einen zusammenfassenden Bericht zu allen gefundenen Sicherheitslücken, die geschlossen werden sollten, um Hackern keinen Zugang zu vertraulichen Daten zu ermöglichen. Die Erstellung der Berichte erfolgt innerhalb von fünf Arbeitstagen.
Über Acunetix Web Vulnerability Scanner
http://www.acunetix.de/vulnerability-scanner/www.acunetix.de/vulnerability-scanner/">Acunetix Web Vulnerability Scanner überprüft die Sicherheit einer Website, indem automatisch nach Anfälligkeiten für Angriffe per http://www.acunetix.de/websitesecurity/sql-injection.htm">SQL-Injection, http://www.acunetix.de/websitesecurity/cross-site-scripting.htm">Cross-Site-Scripting und ähnlichen Schwachstellen gesucht wird. Der Scanner kontrolliert die Zuverlässigkeit von Passwörtern auf Authentifizierungsseiten und führt selbsttätig ein Sicherheits-Audit von Einkaufswagen, Formularen, dynamischen Inhalten und anderen Web-Applikationen durch. Ist der Scan beendet, wird anhand eines umfassenden Berichts erläutert, in welchen Bereichen Schwachstellen gefunden wurden.
Über Acunetix
Acunetix hat sich zum Ziel gesetzt, Gefahren durch unzureichend gesicherte Web-Applikationen aufzuzeigen. Das Hauptprodukt des Unternehmens, Acunetix Web Vulnerability Scanner, spürt Sicherheitsschwachstellen von Websites auf und wurde in mehrjähriger Entwicklungsarbeit von einem Team erfahrener Profis im Bereich Sicherheitssoftware konzipiert. Acunetix befindet sich in privater Hand und ist weltweit mit Niederlassungen in Europa (Malta), Seattle (USA), und London (GB) vertreten. Weitere Informationen zu Acunetix stehen bereit unter: http://www.acunetix.de.
Alle in diesem Dokument genannten Produkte und Firmennamen sind Marken ihrer jeweiligen Inhaber.
WEITERE INFORMATIONEN
Bitte senden Sie eine E-Mail an Tamara Borg: tamara@acunetix.com
Acunetix Ltd
Tel: (+44) 0845 6126712
Fax: (+44) 0845 6126716
Internet: http://www.acunetix.de.
| Aussender: | Acunetix Ltd |
| Ansprechpartner: | Mrs. Tamara Borg |
| Tel.: | (+44) 0845 6126712 |
| E-Mail: | tamara@acunetix.com |
