Sicherheitslücke bei Online-Bezahldienst
Google Pay und PayPal: Abbuchungslücke soll geschlossen sein
Nach Meldungen über PayPal-Abbuchungen über Google Pay, die von den Nutzern nicht autorisiert worden sein sollen, habe der Bezahldienst die Sicherheitslücke nun im Stillen behoben, heißt es seitens Experten.
Innerhalb der letzten vier Wochen scheint PayPal die Sicherheitslücke geschlossen zu haben, die unerlaubte Abbuchungen via Google Pay ermöglicht hatte. Das berichtet heise Security und beruft sich dabei auf den Sicherheitsexperten Markus Fenske, der das Problem schon seit längerem im Blick hat.Al...
Innerhalb der letzten vier Wochen scheint PayPal die Sicherheitslücke geschlossen zu haben, die unerlaubte Abbuchungen via Google Pay ermöglicht hatte. Das berichtet heise Security und beruft sich dabei auf den Sicherheitsexperten Markus Fenske, der das Problem schon seit längerem im Blick hat.
Allerdings sei die Verlässlichkeit des Bugfix bisher nicht umfassend getestet worden. Die Einschätzung beruhe lediglich auf individuellen Prüfungen einzelner Nutzer, die alte und neu erzeugte virtuelle Kreditkarten als Zahlungsmittel ausprobiert hatten.
Update vom 27. Februar 2020
Weiter Probleme mit unberechtigten Abbuchungen
Nach dem Auftreten von falschen und unerlaubten PayPal-Abbuchungen von Accounts, die mit Google Pay verbunden sind (Originalmeldung unten), herrschen bei Nutzern nun große Unsicherheit und Verwirrung.
Zwar hat PayPal auf die Beschwerden reagiert und gibt an, dass das Problem behoben sei. Dem widersprechen jedoch Experten - allen voran Markus Fenske, Chef der Sicherheitsfirma exablue GmbH. Fenske ist der Auffassung, dass die gemeldete Sicherheitslücke in der App des Bezahldienstes auch weiterhin bestehe. Er äußerte sich auf Twitter umfassend zur Problematik und gibt an, die Lücke schon vor einem Jahr entdeckt und an PayPal gemeldet zu haben. (Siehe eingebettete Tweets am Ende dieses Artikels.)
Bei der Schwachstelle soll es sich um eine Schwäche in der Erstellung der virtuellen MasterCard handeln, die für das kontaktlose Bezahlen via NFC von der PayPal-App verwendet wird. Bestätigt ist ein Zusammenhang zwischen dieser Sicherheitslücke und den unberechtigten Zahlungen allerdings nicht.
Ungeachtet dessen hat Google begonnen, das Hinzufügen von PayPal als Bezahlmethode in Google Pay zu unterbinden. Während es bei manchen Nutzern derzeit noch möglich zu sein scheint, können andere Accounts PayPal bereits nicht mehr für Google Pay nutzen.
Originalmeldung, 25. Februar 2020
In den Nutzerforen von PayPal und Google Pay finden sich immer mehr Berichte von deutschen Nutzern, die sich über unberechtigte Abbuchungen von ihrem Konto beschweren. In den meisten Fällen soll es sich um Zahlungen an das US-Einzelhandelsunternehmen Target handeln, aber vereinzelt ist auch von Überweisungen an Starbucks die Rede. Die Höhe der unerlaubt abgebuchten Gelder reicht von Kleinstbeträgen bis zu Summen von mehr als 1.000 US-Dollar.
Gemeinsamkeit der betroffenen Konten: Der PayPal-Account wurde mit dem Google-Pay-Account verbunden. Als Vorsichtsmaßname empfiehlt sich daher, diese Verbindung vorerst aufzuheben. Zudem sollte die Zwei-Faktor-Authentifizierung bei PayPal aktiviert sein.
Berichten zufolge könnte eine Sicherheitslücke in der PayPal-App in Verbindung mit der Funktion des kontaktlosen Bezahlens die Schwachstelle sein, die den Betrug ermöglicht hat. Einige Betroffene melden, dass PayPal ihnen bereits eine Rückzahlung zugesichert habe.
Lesetipp: Verfassungsschutz soll Whatsapp-Verschlüsselung umgehen dürfen
PayPal-Kunden, die eine derartige Unregelmäßigkeit feststellen, sollten sich umgehend direkt an den Online-Bezahldienst wenden. Einige Opfer des Betruges haben sich außerdem in einer speziellen Facebook-Gruppe zum Thema zusammengefunden, um Informationen und Hilfe auszutauschen. Bislang gibt es noch keine offizielle Stellungnahme von PayPal oder Google.
