Betrug mit Google Pay: PayPal kriegt das Problem nicht in den Griff
Dieser Artikel ist älter als ein Jahr!
Die Sicherheitslücke bei PayPal ist größer als bisher angenommen. Betrüger können damit nicht autorisierte Abbuchungen auf über Google Pay veranlassen.
Zahlreiche Nutzer, die ihr Google-Pay-Konto mit PayPal verknüpft haben, ärgerten sich über Abbuchungen von bis zu 1.000 Euro. Zwar konnte man das Geld über PayPal zurückbuchen lassen, wenn man einen Betrugsfall meldet, doch das Problem konnte bisher nicht behoben werden.
In einem Statement hatte PayPal angegeben, die Sicherheitslücke geschlossen zu haben, wie heise berichtet. Das Unternehmen gab zudem an, es sei nur eine geringe Anzahl von PayPal-Kunden, die Google Pay nutzen, von dem Vorfall betroffen.
Lücke seit einem Jahr bekannt
Dem widersprach der Sicherheitsforscher Markus Fenske auf Twitter. Er vermutet, dass es sich bei der Sicherheitslücke um ein Problem handelt, dass er bereits im Februar 2019 entdeckt und an PayPal gemeldet hatte. In eigenen Tests konnte er sie weiterhin nachweisen. Die Angreifer können über NFC oder Brute Force ohne Limit Einkäufe tätigen.
Kreditkarten-Prüfung unzureichend
Tatsächlich fehlt laut Fenske die vollständige Überprüfung der Kreditkartendaten bei PayPal. Weder der Kartenbesitzer, noch das Ablaufdatum oder der CV-Code, würden auf Echtheit geprüft. Einzig die Kartennummer würde von PayPal kontrolliert. Laut Fenske würde man nur etwa 100 Versuche brauchen, um eine gültige Kreditkartennummer automatisiert zu generieren. So könnten die Betrüger unlimitiert Einkäufe tätigen.
Da die Sicherheitslücke demnach weiterhin bestehen könnte, empfiehlt Fenske Nutzern von Google Pay, vorsichtshalber die Verknüpfung zu PayPal zu trennen. Im Hilfecenter von PayPal ist erklärt, wie das funktioniert. Wie Caschys Blog berichtet, könnte auch Google von sich aus die Verknüpfung zu PayPal aufgehoben haben. Es soll derzeit in einigen Google-Pay-Accounts nicht mehr als Zahlungsmittel verfügbar sein.
Kommentare