Google Pay & PayPal: Die Sicherheitslücke bestand noch länger als vermeldet & ließ sich weiterhin ausnutzen
Vor gut zwei Monaten sorgte eine Sicherheitslücke bei PayPal für großes Aufsehen, die in Verbindung mit Google Pay ausgenutzt werden konnte und einigen Nutzern temporär bis zu vierstellige Beträge gekostet hat. Nach einigen Tagen wurde es ruhig, die Nutzer entschädigt und das Problem vergessen. Tatsächlich soll PayPal die verwendete Sicherheitslücke aber erst in den letzten vier Wochen geschlossen haben.
Viele Nutzer verwenden die Möglichkeit, Google Pay mit PayPal zu verbinden, weil sich die Banken in mehreren Ländern gegen Googles Zahlungsdienst sträuben – was sich derzeit nur mit PayPal ohne größeren Aufwand umgehen lässt. Erst vor wenigen Tagen kam ein neuer Partner für Google Pay in Deutschland dazu, aber die ganz großen und wichtigen Partner lassen weiterhin auf sich warten. Und so lange wird die PayPal-Brücke wohl auch die beliebteste Lösung bleiben.
Eine Sicherheitslücke in der Anbindung zwischen Google Pay und PayPal sorgte im Februar für große Probleme und in der Folge natürlich auch für Diskussionen. Unzählige Nutzer berichteten von unberechtigten Abbuchungen in den verschiedensten Beträgen, von wenigen Euro bis zu vierstelligen Beträgen war alles dabei. In den ersten Stunden ließ sich schwer sagen, ob das Problem bei Google Pay oder PayPal liegt und welches Unternehmen nun für den Schaden und die Rückbuchungen verantwortlich ist.
Es stellte sich allerdings sehr schnell heraus, dass das Problem bzw. die Sicherheitslücke bei PayPal liegt. Zwar lässt es sich nur in Verbindung mit Google Pay ausnutzen, aber Google selbst war dennoch an dem Problem nicht wirklich beteiligt. PayPal versprach schnelle Besserung und konnte schon wenige Tage nach den ersten Meldungen berichten, die Sicherheitslücke geschlossen zu haben. Es stellte sich recht schnell heraus, dass das nicht der Fall war, aber das Thema war in den Medien dennoch durch.
Die Sicherheitsforscher von damals sind allerdings drangeblieben und konnten bis weit in den Monat März hinein die eigentlich gestopfte Sicherheitslücke weiter ausnutzen und unter anderem Beträge von eigentlich fremden Kreditkarten zum Kauf von Parktickets spenden. Erst seit wenigen Tagen funktioniert das nicht mehr.
Wir konnten weder bei Wikimedia spenden, noch bei Amazon einkaufen, weder mit den neuen noch mit den alten Karten. Das Problem wurde also tatsächlich irgendwann in den letzten 4 Wochen behoben.
PayPal scheint das Problem also nicht direkt behoben, sondern nur zahlreiche betroffene Transaktionen gesperrt zu haben. In der Wirkung erzielte man zwar den gewünschten Effekt, aber eine offene Sicherheitslücke in einem solch verbreiteten Zahlungssystem ist natürlich dennoch eine sehr unangenehme Angelegenheit. Jetzt soll die Lücke endgültig gestopft sein, aber man kann wohl davon ausgehen, dass die Sicherheitsforscher das Problem nicht vergessen und weiter auf der Suche nach Schwachstellen sind.
Damals wurde von allen Seiten empfohlen, die Verbindung zwischen Google Pay und PayPal zu kappen, um den Problemen aus dem Weg zu gehen. Das ist, wie bereits erwähnt, allerdings auch ein Komfort-Verlust für die Nutzer, weil sie Google Pay möglicherweise nicht mehr zum Bezahlen im stationären Handel verwenden können. Aus dem Grund kann man wohl auch davon ausgehen, dass nur ein Bruchteil der Nutzer diese Schritte durchgeführt hat. Die große Masse dürfte das Problem wohl nicht einmal mitbekommen haben, denn es gab abseits der Medienberichte kein offizielles Statement oder eine Meldung an die nicht betroffenen Nutzer.
Dass die Verknüpfung von Google Pay und PayPal nun wieder sicher ist, traut sich niemand zu sagen. Es muss jeder für sich selbst wissen, ob die absolute Sicherheit (die es sowieso nicht gibt) oder der Komfort im Vordergrund steht.
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
Nennt das Kind doch einfach beim Namen. PayPal hat Mastercard-IDs ausgegeben, deren CVC-Code, Karteninhaber und Ablaufdatum bei Zahlungsanfragen nie validiert wurden. Alle deutschen Kartennummern stammen aus einem bis auf 7 Ziffern festen Zahlenbereich. Bei 1.000.000 aktiven Nutzern braucht es dann nur 10 Versuche, um eine gültige Kartennummer zu erraten.
Unberechtigte Abbuchungen gibt es weiterhin:
https://stadt-bremerhaven.de/paypal-wieder-unberechtigte-abbuchungen/
https://www.paypal-community.com/t5/Tipps-von-den-Mitgliedern/unberechtigte-Abbuchung-am-20-4-2018-über-307-20-von-check-24/td-p/1512807
https://www.it-recht-kanzlei.de/Kommentar/4892/Achtung_unzulaessige_Abbuchung_vom_PayPal-Konto_Betrueger.php
https://www.it-recht-kanzlei.de/viewComment.php?nid=2160
Das stimmt, aber diese stehen nicht im Zusammenhang mit der damaligen Lücke und auch nicht mit Google Pay.