zurück
Feb
26
2020

PayPal: Sicherheitslücke noch immer nicht behoben

Bei vielen Google-Pay-Nutzern mit verknüpftem Paypal-Konto ist es zu unberechtigten Abbuchungen gekommen - betroffene sollten daher ihren Paypal-Zahlungsverlauf genauer überprüfen.

Nach eigenen Angaben hat PayPal die Vorfälle bestätigt und das Abbuchungsproblem inzwischen behoben. Laut einer Stellungnahme des Bezahldienstes hieß es: „Gemäß unserer Nutzungsrichtlinie werden wir die betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten".

Das Unternehmen fügt des Weiteren hinzu, dass weder persönliche Daten oder Finanzinformationen von PayPal-Kunden gestohlen wurden noch hätten Dritte Zugriff auf PayPal-Konten gehabt. Nutzer müssen ihre Konto-Zugangsdaten also nicht zwingend ändern. Weitere Angaben zur Ursache des Problems machte PayPal nicht. Die Abbuchungen gingen überwiegend auf Target-Filialen und auf Starbucks in den USA zurück. 

Derzeit Beschwerden sich die Nutzer in den von Google Pay und PayPal-Community immer mehr darüber, dass dubiose Abbuchungen von Empfängern mit Nonsensnamen wie „IWCFGQUNHKLADEA FUQNI" oder „MAILED IT" auftauchen. Den Angaben zufolge variieren die abgebuchten Summen - Nutzer beklagen hier ein-, bis vierstellige Euro-Beträge. 

In einen Community-Beitrag von PayPal empfiehlt ein Experte, dass die telefonische Kontaktaufnahme mit PayPal am effektivsten sei, um die unberechtigte Abbuchung stornieren zu lassen. Der IT-Sicherheitsexperte Markus Fenske geht davon aus, dass PayPal eine virtuelle Kreditkarte mit Kartennummer, Ablaufdatum Card Validation Code (CVC) erstellt, sobald der Nutzer sein PayPal-Konto mit Google Pay verbindet.

Vielleicht könnten diese Daten bislang von Angreifern auf unbekannte Art erbeutet, erraten und für die unberechtigte Abbuchungen missbraucht worden sein, so der IT-Sicherheitsexperte Markus Fenske. PayPal bekam schon vor einem Jahr von Fenskes IT-Firma IBlue via Twitter den Hinnweis, auf die Sicherheitsproblematik virtueller Kreditkartendaten im Zusammenspiel mit Googles Kontaktlosem Smartphone-Bezahldienst Pay. Google Pay hat seinerseits ebenfalls auf die Vorgänge reagiert: Wie in Caschys Blog zu lesen ist, sei das Hinzufügen von PayPal als Zahlungsmittel nicht mehr möglich. 

Google Pay, Datenschutz, Bezahldienste, PayPal