PayPal & Google Pay: Sicherheitslücke schon lange bekannt
Google Pay mit PayPal
Foto: teltarif.de
Wie berichtet kam es bei Google-Pay-Nutzern, die eine virtuelle Debit MasterCard von PayPal als Zahlungsmethode verwenden, in den vergangenen Tagen zu unautorisierten Abbuchungen. Hintergrund ist offenbar eine Sicherheitslücke bei PayPal, wie Caschys Blog berichtet. Diese sei bereits vor einem Jahr vom Cybersicherheitsexperten Andreas Mayer gefunden und an PayPal gemeldet worden. Dafür habe Mayer sogar eine Belohnung erhalten. Geschlossen wurde das Leck aber nicht.
Um das Daten-Leck auszunutzen, ist es allerdings erforderlich, mindestens einmal Zugriff auf das Smartphone betroffener Nutzer zu bekommen. Die virtuelle Debit MasterCard von PayPal, die bei Google Pay zum Einsatz komme, lasse sich dann mit beliebigen Cardreader-Apps auslesen, solange das Display des Telefons eingeschaltet und PayPal als Zahlungsmethode bei Google Pay hinterlegt sei.
Die ausgelesene virtuelle Karte lasse sich in der Folge für Online-Transaktionen nutzen. Eine Prüfung des CVC-Codes gebe es dabei nicht. Wörtlich heißt es: "Jeder, der an dem Handy des Opfers vorbei geht (Bildschirm muss an sein, was in der Hosentasche leicht passiert), hat eine vollwertige virtuelle Kreditkarte ausgelesen und kann sich damit, auch Monate später, am PayPal-Account des Opfers bedienen." Das sei jetzt von der organisierten Kriminalität ausgenutzt worden.
PayPal aus Google Pay entfernen
Google Pay mit PayPal
Foto: teltarif.de
Um Missbrauch beim eigenen Account zu vermeiden, sollte die virtuelle PayPal-MasterCard aus Google Pay entfernt werden. Das helfe natürlich nur für den Fall, dass die Karte nicht bereits ausgelesen wurde. Erste Nutzer, die nicht autorisierte Abbuchungen bemängelt hätten, seien die Beträge unterdessen zurückerstattet worden. Wie es im Bericht weiter heißt, ließen sich Kartennummer und Ablaufdatum der virtuellen PayPal-Karte bei Google Pay in der Tat per NFC auslesen und für Online-Transaktionen nutzen. Dabei sei ein beliebiger CVC-Code, etwa 000, nutzbar gewesen.
PayPal beteuerte in einer Stellungnahme zwar, seine Verantwortung gegenüber Nutzern "sehr ernst" zu nehmen und "in den Bereichen Betrugsprävention und Risikomanagement moderne Technologien einzusetzen", um sichere Zahlungen zu ermöglichen und die Kunden zu schützen. Umso unverständlicher ist es, dass der Anbieter eine derart große Sicherheitslücke, die seit einem Jahr bekannt ist, nicht umgehend geschlossen hat.
Generell scheint PayPal die Kooperation mit Google Pay eher halbherzig zu verfolgen. So ist es bis heute nicht möglich, neben Smartphones auch Smartwatches für den mobilen Bezahldienst zu verwenden, wie es bei (nahezu) jeder anderen Kreditkarte, die für Google Pay zum Einsatz kommt, möglich ist.