PayPal mit Sicherheitslücke bei Google Pay

Alexander Trust, den 25. Februar 2020
Google Pay mit PayPal
Google Pay mit PayPal

Seit Tagen häufen sich Berichte von Nutzern, deren PayPal-Konten nicht autorisierte Abbuchungen aufweisen. Allen gemeinsam ist: Sie nutzen PayPal mit Google Pay. Jetzt kommt raus: PayPal wusste bereits seit einem Jahr von dem Problem.

Golem meldete zuerst über unerklärliche Abbuchungen auf PayPal-Konten mit Blick auf sich häufende Meldungen in den Nutzerforen Google Pays und PayPal.

Illegale Abbuchungen von PayPal-Konten

Auf den PayPal-Konten der Nutzer fanden Abbuchungen statt. Diese stammten in der Regel aus Target-Märkten und beispielsweise Starbucks-Filialen „in den USA“. Es wurden teilweise Beträge bis zu 1.000 Euro abgebucht. Über Testbuchungen von 1 Cent wurden die Konten der Benutzer teilweise auf Belastbarkeit hin untersucht.

Buchungen stornierbar, aber erst nachträglich

Taucht eine Buchung im PayPal-Konto auf, lässt sie sich noch nicht sofort zurückbuchen. Vielmehr muss man die Buchung abwarten und kann erst dann eine Stornierung bei PayPal beantragen. Das geht aber problemlos und funktionierte auch anstandslos, wie Nutzerberichte belegen.

Sicherheitslücke bei PayPal?

Einen Tag nach dem Bericht meldete sich Sicherheitsspezialist Markus Fenske von Exablue.

Der erklärte gegenüber der Redaktion Golems, dass die „virtuelle Kreditkarte“, die Google Pay für PayPal bereitstellt, die Schwachstelle darstellt. Denn bei der Umsetzung soll PayPal zwei Fehler gemacht haben. Fehler, die Fenske bereits vor einem Jahr herausfand, bei PayPal anzeigte und zuerst aber gar nichts geschah.

Später dann soll er sogar Finderlohn für die Schwachstellen erhalten haben. Nur geschehen ist angesichts der jetzt erfolgenden, sich häufenden Nutzerbeschwerden scheinbar nichts.

Fenske empfiehlt, die Verbindung zwischen Google Pay und Paypal zu lösen. Er erklärt auch auf Twitter explizit, wie der Missbrauch zustande kommen kann.

Wir haben sowohl bei PayPal als auch Google um eine Stellungnahme zu dem Sachverhalt gebeten.

Google sieht komplexe Herausforderung

Google teilte uns in einem Statement mit, dass man den Ärger der Nutzer nachvollziehen kann. Das Unternehmen betont darüber hinaus „das schnelle Handeln“ PayPals und charakterisiert Zahlungsbetrug als „komplexe Herausforderung“.

„Wir verstehen die Frustration von Nutzern, die ungewöhnliche Aktivitäten auf ihren Accounts bemerkt haben und begrüßen, dass PayPal schnell gehandelt hat, um das Problem zu lösen. Sicherheit hat bei Google Pay die höchste Priorität. Zahlungsbetrug ist eine komplexe Herausforderung und unser Team wird unsere Partner weiterhin dabei unterstützen, den Schutz von Nutzern zu gewährleisten.“ (Google-Sprecher)

PayPal kämpft mit modernen Technologien gegen Betrug

Auch von PayPal liegt uns ein Statement vor. Darin macht das Unternehmen deutlich, dass betroffene Kunden ihr Geld für nicht autorisierte Zahlungen in jedem Fall zurückbekommen. Außerdem betont es, dass man bei der Prävention moderne Technologie einsetzt, um ebendiesen zu verhindern. Auch bedankt man sich bei den Nutzer für das entgegengebrachte Vertrauen.

„Uns ist bewusst, welches Vertrauen uns Menschen entgegen bringen, indem sie uns ihr Geld anvertrauen. Wir nehmen diese Verantwortung sehr ernst. In den Bereichen Betrugsprävention und Risikomanagement setzt PayPal auf moderne Technologien, um seine Kunden zu schützen und sichere Zahlungen zu ermöglichen.

Wir haben uns unverzüglich der Behebung dieses Problems angenommen. Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen. Das Problem wurde inzwischen behoben.

Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten.

Gemäß unserer Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten.“ (PayPal)


Ähnliche Nachrichten