GoogleWatchBlog

Google Pay & PayPal: Das Problem soll behoben sein & Nutzer erhalten Geld zurück – es bleiben offene Fragen

» Web-Version «

Es waren drei aufregende Tage für alle Google Pay & PayPal-Nutzer – allerdings im negativen Sinne. Seit dem Wochenende gab es zahlreiche Berichte über unberechtigte PayPal-Abbuchungen bei Google Pay-Nutzern, die auf eine Sicherheitslücke bei PayPal zurückzuführen sind. Jetzt hat PayPal in einer Stellungnahme verkündet, dass das Problem behoben sei und die betroffenen Nutzer die abgebuchten Beträge zurückerhalten sollen. Update: Das Problem ist nicht behoben.


Das Zahlen ohne Bargeld hat sich in Deutschland lange nicht durchsetzen wollen, doch mit der NFC-Funktionalität der Kreditkarten sowie dem Start von Google Pay, Apple Pay und weiteren Lösungen hat sich das geändert. Weil gerade bei Google Pay allerdings eine ganze Reihe von Zwischenhändlern greifen, können immer wieder auch mal Sicherheitslücken auftauchen. Genau eine solche hat es in den letzten Tagen gegeben und für viele Probleme gesorgt.


Google Pay & PayPal: Aufgepasst! Die Sicherheitslücke besteht noch immer & wohl schlimmer als bisher gedacht

Seit dem Wochenende haben zahlreiche Nutzer unberechtigte Abbuchungen in großer Höhe gemeldet, die über PayPal von Google Pay abgegangen sein sollen – und wir sprechen hier teilweise von Summen jenseits von 1.700 Euro. Dass das die Nutzer ein klein wenig beunruhigt, dürfte klar sein – kein Wunder also, dass das Thema sehr hohe Wellen geschlagen hat. Dennoch haben sich Google und PayPal mit offiziellen Statements stark zurückgehalten und waren sehr wortkarg.

Nun konnte PayPal vermelden, dass das Problem behoben ist. Gegenüber heise security hat PayPal mitgeteilt, dass nur eine kleine Anzahl von Nutzern betroffen gewesen ist. Soweit bekannt, waren im aktuellen Fall nur Nutzer aus Deutschland betroffen, die PayPal in Verbindung mit Google Pay verwendet haben – dass die Gesamtanzahl also relativ klein ist, ist nachvollziehbar. Macht die Sache aber nicht besser. Gleichzeitig teilt PayPal mit, dass Dritte keinen Zugriff auf PayPal-Konten hatten. Das kann man glauben, muss man aber nicht.

Die wichtigste Botschaft kommt dann am Ende des Statements: Betroffene Nutzer werden die Beträge zurückerhalten und müssen keine vierstelligen Beträge auf ihrer nächsten Kreditkartenabrechnung befürchten. In diesem Punkt gibt es allerdings noch Unklarheiten: Woher stammen die Kreditkarten-Daten? Warum waren nur deutsche Nutzer betroffen? Warum haben alle Sicherheitssysteme versagt?



Das Statement von Paypal

Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen.

Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten.

Betroffenen Kunden sollen sämtliche nicht autorisierte Zahlungen zurückerstattet werden.

Unklar bleibt, ob alle betroffenen Nutzer ihr Geld zurückerhalten bzw. es gar nicht zahlen müssen, oder nur die Nutzer, die eine solche Zahlung gemeldet haben. Ich kann mir durchaus vorstellen, dass einige betroffene Nutzer davon gar nichts mitbekommen und dementsprechend auch nicht an PayPal gemeldet haben. Oder vielleicht haben einige Nutzer das Problem nur an Google Pay, nicht aber an PayPal gemeldet. In jedem Fall solltet ihr also auf eurem Konto nachsehen und, falls betroffen und nicht gemeldet, noch dringend eine Meldung bei PayPal anbringen.

Über die genauen Gründe für dieses Problem will PayPal keine Auskunft erteilen, was wohl daran liegt, dass es durch die seit langer Zeit bekannte Sicherheitslücke ausgelöst wurde, die das Unternehmen offenbar nicht gestopft hat. Man darf aber wohl davon ausgehen, dass das nun geschehen ist oder zumindest zeitnah geschehen wird und bis dahin weitere Sicherheitsschranken in das System eingebaut wurden. Die Drahtzieher hinter der Aktion sind ebenfalls nicht bekannt – zumindest nicht öffentlich.

Und Google? Google hat zwar, wie bisher schon vermutet, mit dem Problem nicht wirklich etwas zu tun, aber dennoch hätte man allein schon aufgrund der Medienberichte und zahlreichen besorgten Nutzer ein echtes und hilfreiches Statement veröffentlichen können. Das ist bisher aber noch nicht geschehen.

Google Pay: PayPal-Sicherheitslücke dürfte den Angriff ermöglichen – woher stammen die Kreditkarten-Daten?

[heise]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren