Un ragazzo tedesco di 17 anni, tale Robert Kugler, ha pubblicato informazioni su una vulnerabilità di tipo cross-site scripting nel sistema di pagamento PayPal. Kugler ha voluto segnalare il bug a PayPal e partecipare quindi al programma lanciato dall’azienda dal nome Bug Bounty che offre denaro a chi segnala bug di sicurezza del sito. Il programma però prevede il pagamento solo ai partecipanti che hanno 18 anni o più. Per sfogare la sua frustrazione, Kugler ha diffuso pubblicamente il bug che ha scovato. I server di PayPal, apparentemente, non riescono a controllare con sufficiente rigore le stringhe inserite nel campo di ricerca nella versione tedesca del sito.
Paypal ricade in vulnerabilità cross scripting, denotando un sistema di sicurezza non all'altezza di quanto ci si aspetterebbe da un sito che maneggia così tanti soldi. D'altro canto, siamo positivamente sorpresi da come i browser riescano spesso a mettere delle pezze dove i server web creano vulnerabilità.
Il risultato è che è possibile scrivere codici JavaScript in questo campo, che il server invia al browser. Il browser poi esegue questo codice. Gli eventuali aggressori possono sfruttare tali cross-site scripting (XSS) e, tra le altre cose, rubare le credenziali di accesso. Il problema può essere dimostrato inserendo la stringa "Alert
Un precedente vulnerabilità XSS in PayPal, che poteva essere sfruttata utilizzando voci utente non sufficientemente filtrati, è stata scoperta nel mese di marzo 2012. Allora come oggi, la società si faceva una grande pubblicità in Germania come un "sistema di pagamento testato e sicuro" grazie alla certificazione rilasciata da TÜV Saarland. Nel corso dell'ultimo esercizio, PayPal ha registrato un fatturato globale di 1,5 miliardi dollari.
