Das Nachrichtenportal - Informationstechnologie - Cross-Site-Scripting-Schwachstelle bei PayPal führt zu Identitätsdiebstahl

Cross-Site-Scripting-Schwachstelle bei PayPal führt zu Identitätsdiebstahl

Eine unbekannte Anzahl von Benutzern des Bezahldienstes PayPal ist am vergangenen Wochenende einem Phishing-Angriff zum Opfer gefallen. Bei dieser Hacker-Attacke wurden Kreditkartennummern und andere persönliche Informationen von PayPal-Kunden widerrechtlich abgefragt. Begünstigt wurde die Täuschung durch die Anfälligkeit einer PayPal-Anwendung für Cross-Site-Scripting (XSS). Der Identitätsdiebstahl war vor allem erfolgreich, weil der Code für die böswillige Aktion per XSS in die offizielle Website des Unternehmens eingeschleust worden war und die Abfrage somit vertrauenswürdig zu sein schien. Schwachstellen, die Angriffe dieser Art begünstigen, lassen sich mit Hilfe des Acunetix Web Vulnerability Scanner (WVS) auffinden und rechtzeitig beheben, bevor Kunden oder Firmen ein Schaden entsteht. Weitere Informationen zum Cross-Site-Scripting stehen bereit auf http://www.acunetix.de/websitesecurity/cross-site-scripting.htm . Produktinformationen zum Acunetix Web Vulnerability Scanner sind abrufbar über www.acunetix.de.

Die PayPal-Benutzer waren von den Hackern per E-Mail kontaktiert worden, eine URL der legitimen Website des Bezahldiensts aufzurufen. Per vorheriger XSS-Manipulation wurde dann Programmcode auf der PayPal-Seite gestartet und folgende scheinbar offizielle Nachricht angezeigt: Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to a Resolution Center. Die Opfer wurden daraufhin auf eine andere präparierte Phishing-Site in Südkorea weitergeleitet.

Dort wurde dann um Eingabe des PayPal-Benutzernames und des Passworts gebeten. Im angeblich offiziellen Resolution Center erfolgte schließlich die Abfrage vertraulicher Kreditkartendaten, PIN-Nummern von Bankkarten oder Sozialversicherungsnummern.

Der Acuntetix Web Vulnerability Scanner (WVS) führt automatisch Sicherheits-Audits von Web-Anwendungen und Websites durch und überprüft, ob diese beispielsweise vor Anfälligkeiten für Cross-Site-Scripting geschützt sind. Die selbsttätige Kontrolle seiner Webanwendungen mit Hilfe eines Sicherheits-Scanners wie Acunetix WVS hätte PayPal somit rechtzeitig vor Image-Schäden und Vertrauensverlust bewahren können. Obwohl die Schwachstelle inzwischen beseitigt ist, hat das Unternehmen noch keine weiteren Informationen bekannt gegeben, wie viele Kunden betroffen waren und ob der Angriff finanzielle Schäden verursacht hat.

Kostenfreies Web-Audit für Unternehmen zum Feststellen des Gefährdungsgrads einer Website

Unternehmen, die die Sicherheit Ihrer Website überprüfen lassen möchten, können ein kostenfreies Angebot von Acunetix wahrnehmen und sich unter http://www.acunetix.de/security-audit/ für ein Web-Audit ihrer Site registrieren. Teilnehmer erhalten nach dem Scan einen zusammenfassenden Bericht zu allen gefundenen Sicherheitslücken, die geschlossen werden sollten, um Hackern keinen Zugang zu vertraulichen Daten zu ermöglichen. Die Erstellung der Berichte erfolgt innerhalb von fünf Arbeitstagen.

Über Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner überprüft die Sicherheit einer Website, indem automatisch nach Anfälligkeiten für Angriffe per SQL-Injection, Cross-Site-Scripting und ähnlichen Schwachstellen gesucht wird. Der Scanner kontrolliert die Zuverlässigkeit von Passwörtern auf Authentifizierungsseiten und führt selbsttätig ein Sicherheits-Audit von Einkaufswagen, Formularen, dynamischen Inhalten und anderen Web-Applikationen durch. Ist der Scan beendet, wird anhand eines umfassenden Berichts erläutert, in welchen Bereichen Schwachstellen gefunden wurden.

Über Acunetix

Acunetix hat sich zum Ziel gesetzt, Gefahren durch unzureichend gesicherte Web-Applikationen aufzuzeigen. Das Hauptprodukt des Unternehmens, Acunetix Web Vulnerability Scanner, spürt Sicherheitsschwachstellen von Websites auf und wurde in mehrjähriger Entwicklungsarbeit von einem Team erfahrener Profis im Bereich Sicherheitssoftware konzipiert. Acunetix befindet sich in privater Hand und ist weltweit mit Niederlassungen in Europa (Malta), Seattle (USA), und London (GB) vertreten. Weitere Informationen zu Acunetix stehen bereit unter: http://www.acunetix.de.

Alle in diesem Dokument genannten Produkte und Firmennamen sind Marken ihrer jeweiligen Inhaber.

WEITERE INFORMATIONEN

Bitte senden Sie eine E-Mail an Tamara Borg: tamaraacunetix.com

Acunetix Ltd

Tel: (+44) 0845 6126712

Fax: (+44) 0845 6126716

Internet: http://www.acunetix.de.

21.06.2006 - 18:01 Quelle: pressetext.de | Gelesen: 122 X

Top Tags

Unternehmens Center Hackern Unternehmen führt Cross-Site-Scripting überprüft kostenfreies Abfrage Websites automatisch Sicherheit Opfer Vulnerability Web-Audit Angriffe offizielle Website INFORMATIONEN acunetix Resolution rechtzeitig Scanner Anfälligkeiten PayPal E-Mail Kunden Scan Web-Applikationen Schwachstellen

Vorherige Artikel

Französische Website von Microsoft gehackt!

Hacker richten ihre Angriffe auch weiterhin direkt gegen Websites. Erst am vergangenen Wochenende wurde eine der französischen Web-Präsenzen von Microsoft zum Ziel einer Attacke türkisc

VOIPANGO übernimmt Distribution für Sirrix ISDN-Karten

Freiburg, den 21.06.2006 – VOIPANGO, das Business-Portal der Pyramid Computer GmbH für Voice Over IP-Produkte und -Know How und die Sirrix AG, ein Spin-Off Unternehmen der Universität des Saarlandes

Informationstechnologie als Innovator – Zahl der Computer entscheidet über den Wohlstand der Nationen

Austin/Texas/Neuss, www.ne-na.de – Informationstechnologie (IT) ist der Schlüssel zu Wirtschaftswachstum und Wohlstand. Länder wie Indien, Irland, Malaysia oder Singapur zeigen, wie Staaten von der Fo

Nächste Artikel

visionapp bietet 64-Bit-Unterstützung und Möglichkeiten zur Stromkostenreduzierung beim Betrieb von Terminalserverumgebungen

vPMS und vAP in der Version 2006 R2 mit erweitertem FunktionsumfangFrankfurt am Main/Ettlingen, 22. Juni 2006/Kn: Die visionapp GmbH, führender Lösungsanbieter für server-based Computing- und Portal-L

Fußballfieber im Forum für Senioren

Auch im www.forum-fuer-senioren.de ist das Fußballfieber ausgebrochen. Mit verschiedenen Aktionen wie einem Gewinnspiel, einem eigens zur Fußball-WM 2006 eingerichtetem Fußballforum und redaktionellen

Immer weniger High-Tech-Gründungen in Deutschland – Zentrum für Europäische Wirtschaftsforschung: Alarmzeichen ersten Ranges

Bonn/Mannheim – Die Zahl der High-Tech-Gründungen geht in Deutschland in Besorgnis erregender Zahl zurück. Im Vergleich zum Vorjahr sank sie um 16 Prozent und erreichte damit einen neuen Tiefstand. Di

Sferatec präsentiert sich auf der Intersolar 2006

SferaTec Gebäudetechnik Vertriebs GmbH aus Waldbröl ist bekannt als Entwickler und Lieferant für die Heizungs- und Sanitärindustrie von Armaturen mit und ohne Antrieb, Sonderbautei

Indianetzone Launches The Most Useful and Informative Site Interiors.Indianetzone.com

- MUMBAI, INDIA, June 22, 2006 - Indianetzone.com, India"s most informative and illustrative web portal, launches the http://interiors.indianetzone.com/http://interiors.indianetzone.com/ is the only

letzte Meldungen

ältere Meldungen

Top Tags

Vorherige Artikel

Nächste Artikel

Beliebte Artikel