Firmenlink

ESET

 

Google Pay: PayPal-Lücke doch noch nicht geschlossen?

Laut dem Entdecker der Sicherheitslücke, mit der unautorisierte PayPal-Abbuchungen via Google Pay ermöglicht werden, ist das Problem noch nicht gelöst – und sogar noch schlimmer, als gedacht.

von Claudia Maag 27.02.2020 (Letztes Update: 27.02.2020)

Nutzer von Google Pay, welche die Bezahl-App mit ihrem PayPal-Konto verknüpft haben, berichteten von dubiosen, unautorisierten Abbuchungen. Der Bezahldienst PayPal hatte versichert, dass das Problem behoben sei (PCtipp berichtete).

Doch das scheint nicht der Fall zu sein, wie «Heise Online» vermeldet. Der Entdecker der Sicherheitslücke, der Sicherheitsforscher Markus Fenske aus Hannover, hat weitere Details veröffentlicht. Demnach ist die Sicherheitslücke sogar schlimmer, als er ursprünglich angenommen hat. 

Gegenüber Heise hat Feske geäussert, dass bei den virtuellen Kreditkarten, die PayPal für die Zahlungsabwicklung bereitstellt, ausser der Kartennummer keine Parameter geprüft werden. Zuvor war man davon ausgegangen, dass zumindest das Ablaufdatum geprüft wird. Wie Fenske auf Twitter schreibt, benötigt man bei einer vollständig fehlenden Überprüfung ungefähr 100 Versuche, um eine gültige Kreditkartennummer zu generieren, die einem zufälligen PayPal-Account zugeordnet wird.

Das können Sie tun

Fenske rät Nutzern, die von PayPal bei der Verknüpfung mit Google Pay erzeugte (virtuelle) Mastercard zu deaktivieren, damit via Google Pay keine Abbuchungen mehr vom PayPal-Konto möglich sind. Wie Sie dies ausführen, hat PayPal im Hilfe-Center erläutert. Loggen Sie sich bei PayPal ein und klicken Sie oben auf das Zahnrad-Symbol. Dann wählen Sie den Tab Zahlungen aus und klicken auf den Button Zahlungen im Einzugsverfahren verwalten. Hier kann man laut PayPal die «neueste aktive Abbuchungsvereinbarung von Google, Inc» stornieren (erst Kündigen, dann auf Automatische Zahlungen stornieren klicken). 

Hier können Sie die von PayPal bei der Verknüpfung mit Google Pay erzeugte (virtuelle) Mastercard deaktivieren, damit keine Abbuchungen via Google Pay mehr möglich sind Hier können Sie die von PayPal bei der Verknüpfung mit Google Pay erzeugte (virtuelle) Mastercard deaktivieren, damit keine Abbuchungen via Google Pay mehr möglich sind Zoom© Screenshot/PCtipp

Alternativ können Sie die über den Link genannte Support-Hotline anrufen, allerdings ist die genannte Nummer nur für Anrufer aus Deutschland gebührenfrei. Anrufer aus der Schweiz können PayPal über die Nummer +35314369414 kostenpflichtig kontaktieren.

Update 13:55 Uhr: PayPal sagt auf Anfrage zu PCtipp dazu:

«Wie bereits am 25. Februar mitgeteilt, hat PayPal das Problem bereits behoben. (...) Es gibt keine Hinweise darauf, dass ein Zusammenhang zwischen den Aussagen von Herrn Fenske und den nicht autorisierten Zahlungen besteht, von denen deutsche PayPal-Kunden betroffen waren, die PayPal in Google Pay nutzen.

Vom Problem betroffen war eine sehr geringe Anzahl deutscher PayPal-Kunden, die PayPal als Zahlungsquelle in Google Pay nutzen. Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten.

Wir werden betroffenen Kunden die nicht autorisierten Zahlungen automatisch zurückerstatten. (...)»


    Kommentare

    • tipptopp 27.02.2020, 16.34 Uhr

      Lesenswert auf Heise.de! Es ging wohl unzähligen Leuten in Deutschland und anderswo wie mir: PayPal Abbuchungungen funktionier(t)en auch ohne jegliche Nutzung weder von PayPal noch Google Pay: PayPal erstellt eine virtuelle MasterCard Nummer ohne jegliche weitere Sicherheitskontrollen, über die dann Böswillige Ware bezahlen lassen, die dann auf irgend einer reell existierenden Master- oder wie in meinem Fall, Visakarte belastet werden. Auch bietet Google Pay trotz gegenteiliger Aussage weiterhin[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.