PayPal.com was tot voor kort kwetsbaar voor cross site scripting (xss), het injecteren van externe code in een website. Doordat de betaaldienst gebruikersinput in het zoekveld niet goed filterde, kon kwaadaardige code worden geïnjecteerd en uitgevoerd, meldt Heise Security.

XSS-lek PayPal Proof of concept van XXS-lek op PayPal.com. Zie grotere afbeelding.

Hierdoor kan een hacker in potentie doordringen tot de database van PayPal.com, en zo persoonsgegevens en financiële data oogsten. Kort na melding heeft PayPal het gat gedicht.

Gênant en gevaarlijk

XSS-lekken zijn een zeer veel voorkomend fenomeen. Over de ernst van XSS-kwetsbaarheden wordt gedebatteerd. Voor een grote, cruciale en beveiligde betaaldienst als PayPal is het sowieso zeer gênant.