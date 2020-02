Seit Tagen häufen sich Berichte von Nutzern, deren PayPal-Konten nicht autorisierte Abbuchungen aufweisen. Allen gemeinsam ist: Sie nutzen PayPal mit Google Pay. Jetzt kommt raus: PayPal wusste bereits seit einem Jahr von dem Problem.

Golem meldete zuerst über unerklärliche Abbuchungen auf PayPal-Konten mit Blick auf sich häufende Meldungen in den Nutzerforen Google Pays und PayPal.

Auf den PayPal-Konten der Nutzer fanden Abbuchungen statt. Diese stammten in der Regel aus Target-Märkten und beispielsweise Starbucks-Filialen „in den USA“. Es wurden teilweise Beträge bis zu 1.000 Euro abgebucht. Über Testbuchungen von 1 Cent wurden die Konten der Benutzer teilweise auf Belastbarkeit hin untersucht.

Taucht eine Buchung im PayPal-Konto auf, lässt sie sich noch nicht sofort zurückbuchen. Vielmehr muss man die Buchung abwarten und kann erst dann eine Stornierung bei PayPal beantragen. Das geht aber problemlos und funktionierte auch anstandslos, wie Nutzerberichte belegen.

Einen Tag nach dem Bericht meldete sich Sicherheitsspezialist Markus Fenske von Exablue.

Der erklärte gegenüber der Redaktion Golems, dass die „virtuelle Kreditkarte“, die Google Pay für PayPal bereitstellt, die Schwachstelle darstellt. Denn bei der Umsetzung soll PayPal zwei Fehler gemacht haben. Fehler, die Fenske bereits vor einem Jahr herausfand, bei PayPal anzeigte und zuerst aber gar nichts geschah.

Später dann soll er sogar Finderlohn für die Schwachstellen erhalten haben. Nur geschehen ist angesichts der jetzt erfolgenden, sich häufenden Nutzerbeschwerden scheinbar nichts.

Just to give a summary and update on the most resent research on the current PayPal situation:



In February 2019 we found a serious issue in PayPal's contactless payment. To implement NFC payments, PayPal issues a virtual credit card. This virtual credit card is presented to