Gestern wurde bekannt, dass Nutzer von Google Pay über PayPal unberechtigte Abbuchungen aus den USA auf ihren Konten vorgefunden haben. Nun gab es eine Stellungnahme von PayPal. Es handelte sich um einen seit einem Jahr bekannten Bug.
PayPal – Unberechtigte Abbuchungen durch bekannten Bug
Bei Heise ist zu lesen, dass es sich bei dem Problem der unberechtigten Abbuchungen um eine seit Februar 2019 bekannte Sicherheitslücke von PayPal handelt. Entdeckt wurde sie von Markus Fenske CEO of exablue GmbH, einer Firma für Cybersicherheit. Dieser hatte die Lücke bereits im letzten Jahr dem PayPal Bug Bounty Programm gemeldet. Behoben wurde sie jedoch nicht.
Reported a critical issue to PayPal ONE YEAR AGO.
— iblue (@iblueconnection) February 24, 2020
„Not an issue. Please self-close“. Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up.
Found that it’s actively exploited by now. Sorry PP, you suck.https://t.co/48IVszRqlb
Durch die Verknüpfung des PayPal Kontos mit Google Pay wird von PayPal eine virtuelle Kreditkarte mit der üblichen 16-stelligen Nummer und einem Ablaufdatum erzeugt. Sofern diese virtuelle PayPal-Kreditkarte als Standard-Zahlmethode hinterlegt ist, lassen sich deren Daten über ein zweites Handy mit installierter Kartenlese App per NFC auslesen. Dieser Weg soll, laut Sicherheitsforscher Fenske jedoch bei dem derzeit bestehenden Problem eher unwahrscheinlich sein. Viele Nutzer berichteten davon NFC deaktiviert zu haben.
„Wir gehen mittlerweile davon aus, dass die Kreditkartendaten am wahrscheinlichsten per Brute Force erbeutet wurden“, sagte er gegenüber heise Security. Weiterhin ist zu lesen, dass die ersten 8 Ziffern der virtuellen deutschen PayPal-Mastercard mit denen das Problem getestet wurde, immer identisch waren. Somit sind nur noch 8 Stellen zu knacken.
Im Normalfall können Datendiebe mit einer per Google Pay und deiner Bank verknüpften virtuellen Kreditkarte nichts anfangen, da immer neue Nummern erzeugt werden.
Bei der virtuellen Kreditkarte von PayPal ist dies jedoch anders. Ausgelesene Daten einer virtuellen PayPal Kreditkarte ließen sich bei einem anderen Google Pay Account hinterlegen. Bei der Sicherheitsabfrage nach der dreistelligen CVC (die bei einer physischen Karte auf der Rückseite zu finden ist) hat die Eingabe einer beliebigen Zahl (000) ausgereicht, damit die Karte akzeptiert wurde. Die 2FA griff hier nicht (Quelle: Caschys Blog).
Das Trennen deines PayPal Accounts von Google Pay hilft nur dann, wenn noch keine Daten erbeutet wurden. Sicherheitsforscher Fenske rät dazu, die virtuelle Kreditkarte zu deaktivieren beziehungsweise die Abbuchungsvereinbarung mit Google Pay zu beenden. Wie das funktioniert liest du hier.
Statement von PayPal
Laut PayPal sei das Problem inzwischen behoben. Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen.
Angeblich „wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten.“
Wie man es allerdings sonst nennen möchte, das unberechtigte Abbuchungen stattfanden bleibt die Frage. Weiterhin sollen den betroffenen Nutzern sämtliche nicht genehmigte Zahlungen erstattet werden.
Sicherheitslücke ist weiterhin vorhanden
PayPal hat angeblich das Problem behoben, jedoch hat Sicherheitsforscher Fenske heute 10 Euro auf sein Amazon Konto geladen mit einer Karte, welche kurz zuvor per NFC und einer Kartenlese-App ausgelesen wurde…..
