Die Organisation Worldpay.com ist ein Tochterunternehmen der RBS-Gruppe und bezeichnet sich selbst als führend in Sachen Onlinebezahlung. Angeboten wird die virtuelle Bezahlungsmöglickeit über das Internet, Telefon, Fax und eMail. Natürlich ist es nicht nur im Interesse der Kunden diesen Service so sicher wie möglich zu gestalten, besonders wenn man sich selbst als führend bezeichnet.

Nach der kürzlich bekannt gewordenen Lücke beim Konkurrenten PayPal in Sachen Cross-Site-Scripting (XSS) schließt sich nun die fünft größte Bank weltweit an. Auch bei PayPal war es möglich mittels getürkter Webseiten Kundendaten abzufangen. Anstatt das System durch den Einsatz von SSL-Technologie (Secure Socket Layer) sicherer zu machen und dem Kunden mehr Vertrauen geben zu können passierte genau das Gegenteil. Einem finnischen Forscher gelang es, einen eigenen Schad-Code in die PayPal Seite zu injizieren. An den Überwachungssystemen des Bezahlsystems ging dieser Akt spurlos vorbei. Dem Anwender wurde angezeigt, dass er sich noch immer auf dem richtigen Weg befinden würde. Diese Tatsache war natürlich falsch, er befand sich auf ungeahnten Abwegen. Während eines Online-Interviews demonstrierte der Finne seine Entdeckung. Zunächst wurde der Benutzer nach den Logindetails gefragt und dann auf einen unautorisierten Server weitergeleitet. Ab dann befand sich der User in den Fängen des Finnen Harry Sintonen. "Als wir davon gehört haben, wurden wir sofort aktiv und arbeiteten mit höchster Priorität an der Lokalisierung des Fehlers", so das Unternehmen, welches in Sachen Sicherheit sehr bedacht ist.

Vergleichbares widerfuhr nun dem schottischen Mittbewerber RBS. Hier entdeckte ein Amateurentwickler namens Adam Grit die Möglichkeit in die Webseite bösartigen Java Script-Code einzuschleusen. Dadurch konnte er sämtliche Eingaben der Benutzer mitlesen und abfangen. In einer eMail wies er das Unternehmen Ende April auf die bedrohliche Lücke hin und teilte mit, dass es ihm möglich war, sämtlichen Datenverkehr mitzuschneiden. Das Unternehmen zeigte sich eher desinteressiert und hat dem Entdecker der Lücke bislang nicht geantwortet.

Bis zum vergangenen Montag blieb die Seite unverändert online. Erst elektronische Post an die PR (Public Relations) Abteilung der RBS konnte das Unternehmen wach rütteln und zur Umstellung bewegen.

(Via Channel Register, thx!)