Google Pay: PayPal hat die Kreditkarten-Sicherheitslücke nicht im Griff – so könnt ihr euch dagegen schützen
Die Problematik rund um die unberechtigten PayPal-Abbuchungen bei Google Pay scheint trotz anderslautender Behauptungen von PayPal noch immer kein Ende zu finden. Weil die weiteren Auswirkungen der Sicherheitslücke kaum absehbar sind, sollte man als Nutzer nun selbst aktiv werden und die Verbindung zwischen Google Pay und PayPal vorerst vollständig kappen. Das ist tatsächlich sehr einfach möglich, aber nicht auf dem Wege, den man vermuten würde.
Bereits seit Sonntag gab es zahlreiche Berichte über unberechtigte PayPal-Abbuchungen bei Google Pay-Nutzern, die sie natürlich nicht selbst getätigt haben. Es wurde sehr schnell deutlich, dass es sich dabei um eine größere Sicherheitslücke und einen gezielten Angriff auf diese Schwachstelle handelt, bei dem PayPal eigentlich sehr schnell aktiv werden müsste. Doch das Unternehmen gibt sich nicht nur wortkarg, sondern zeigt auch wenig Problembewusstsein.
PayPal & Google: Der Bezahldienst verlagert einige wichtige Teile der Infrastruktur in die Google Cloud
Eigentlich hätte das Thema sehr schnell erledigt sein können: Zahlreiche Nutzer haben sich in den Support-Foren von Google Pay und PayPal gemeldet und über unberechtigte Abbuchungen in teilweise vierstelliger Höhe berichtet. Es wurde sehr schnell klar, dass das Problem auf der Seite von PayPal besteht und dass eine lange bekannte Sicherheitslücke nun offenbar von einem oder mehreren Angreifern ausgenutzt wurde. Nur einen Tag nach den ersten Medienberichten konnte PayPal dann Vollzug melden und verkündete gegenüber den Medien, dass das Problem behoben wurde.
Das war allerdings nur die halbe Wahrheit. Die Problemwelle scheint zwar behoben zu sein, zumindest gibt es keine erneuten Berichte von unberechtigten Abbuchungen, aber die Sicherheitslücke besteht weiterhin – und das nicht erst seit dem Wochenende. PayPal hatte mindestens seit Februar 2019 Kenntnis von der Sicherheitslücke und hat sie bis heute nicht oder zumindest nicht ausreichend gefixt. Nach wie vor soll es möglich sein, gültige virtuelle Kreditkarten durch bloßes raten zu erstellen und bei Google Pay zu hinterlegen.
Weil sich PayPal dem Problem offenbar nicht in angemessener Zeit annehmen kann und Google Pay im Großen und Ganzen machtlos ist, muss man als Nutzer nun selbst aktiv werden. Bevor nicht von anerkannter Stelle bewiesen ist, dass das Sicherheitsproblem behoben wurde, sollte die Verbindung zwischen PayPal und Google Pay vollständig aufgehoben werden. Nur so seid ihr auf der sicheren Seite.
So lassen sich Google Pay und PayPal trennen
- Rufen Sie die Seite Einstellungen auf.
- Klicken Sie auf Zahlungen oben auf der Seite.
- Klicken Sie auf Anzeigen neben „Zahlungen im Einzugsverfahren verwalten“ und stornieren Sie die neueste aktive Abbuchungsvereinbarung mit Google, Inc.
Um jegliches Risiko zu vermeiden, sollten alle mit Google in Verbindung stehenden Einzugsermächtigungen erst einmal gelöscht werden. Das kann Bezeichnungen wie „Google“, „Google Pay“ aber auch den alten Namen „Android Pay“ haben.
Ganz einfach, muss man aber wissen. PayPal erklärt das auf einer kurzen FAQ-Seite. Beachtet beim Löschen aber, dass ihr dadurch möglicherweise auch andere Einzugsermächtigungen von Google kappt. Zahlt ihr also im Play Store mit dieser Kombination, habt ein YouTube Music- oder auch ein Google One-Abo, bekommt ihr auch dort Probleme und müsst vorübergehend eine alternative Zahlungsmöglichkeit hinterlegen.
Zusätzlich sollte auch noch die virtuelle PayPal-Kreditkarte aus Google Pay entfernt werden, aber das ist zumindest für diesen Fall, soweit bekannt, nicht notwendig. Weil ihr die Verknüpfung zwischen den beiden Diensten später vermutlich wieder nutzen möchtet, kann die Karte deswegen auch bei Google Pay gespeichert bleiben. Möglicherweise kann es nach dem Entfernen der Karte sogar bei der späteren Einrichtung zu Problemen kommen.
PayPal & Google: Der Bezahldienst verlagert einige wichtige Teile der Infrastruktur in die Google Cloud
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter