Un ragazzo tedesco di 17 anni, tale Robert Kugler, ha pubblicato informazioni su una vulnerabilità di tipo cross-site scripting nel sistema di pagamento PayPal. Kugler ha voluto segnalare il bug a PayPal e partecipare quindi al programma lanciato dall’azienda dal nome Bug Bounty che offre denaro a chi segnala bug di sicurezza del sito. Il programma però prevede il pagamento solo ai partecipanti che hanno 18 anni o più. Per sfogare la sua frustrazione, Kugler ha diffuso pubblicamente il bug che ha scovato. I server di PayPal, apparentemente, non riescono a controllare con sufficiente rigore le stringhe inserite nel campo di ricerca nella versione tedesca del sito.
Paypal ricade in vulnerabilità cross scripting, denotando un sistema di sicurezza non all'altezza di quanto ci si aspetterebbe da un sito che maneggia così tanti soldi. D'altro canto, siamo positivamente sorpresi da come i browser riescano spesso a mettere delle pezze dove i server web creano vulnerabilità.
Il risultato è che è possibile scrivere codici JavaScript in questo campo, che il server invia al browser. Il browser poi esegue questo codice. Gli eventuali aggressori possono sfruttare tali cross-site scripting (XSS) e, tra le altre cose, rubare le credenziali di accesso. Il problema può essere dimostrato inserendo la stringa "Alert <SCRIPT> ('XSS strikes again') </ script>”nel campo di ricerca . La versione del sito in lingua inglese, scrivendo la stessa stringa nel campo di ricerca, indirizza gli utenti a un diverso, apparentemente gestito esternamente, motore di ricerca. La falla XSS potrebbe però ancora essere in uso per attacchi contro gli anglofoni che utilizzano PayPal. L'utente non ha modo di sapere se il codice è stato “iniettato” da un attaccante, dato che l'URL corretto di PayPal è visualizzato nella barra degli indirizzi del browser e alla verifica del certificato SSL non riscontra eventuali irregolarità. Il semplice attacco descritto da Kugler non funziona con i browser basati su WebKit (Safari e Chrome) e Internet Explorer 10, che includono un filtro XSS. Questo può, tuttavia, essere aggirato. Gli utenti di Opera e Firefox sono vulnerabili al bug scoperto da Kugler. Gli sviluppatori di Mozilla stanno lavorando in proprio per offrire agli utenti Firefox un filtro XSS, ma lo sviluppo sembra essersi arrestato.
Un precedente vulnerabilità XSS in PayPal, che poteva essere sfruttata utilizzando voci utente non sufficientemente filtrati, è stata scoperta nel mese di marzo 2012. Allora come oggi, la società si faceva una grande pubblicità in Germania come un "sistema di pagamento testato e sicuro" grazie alla certificazione rilasciata da TÜV Saarland. Nel corso dell'ultimo esercizio, PayPal ha registrato un fatturato globale di 1,5 miliardi dollari.