Google Pay & PayPal: Aufgepasst! Die Sicherheitslücke besteht noch immer & wohl schlimmer als bisher gedacht
Seit dem Wochenende sorgt die PayPal-Sicherheitslücke in Kombination mit Google Pay für großes Aufsehen, denn bei zahlreichen Nutzern wurden große Beträge im vierstelligen Bereich abgebucht – natürlich unberechtigt und ohne ihr wissen. Gestern hat PayPal offiziell verkündet, dass das Problem behoben ist doch nun zeigt sich, dass das wohl nicht der Fall ist. Laut dem Entdecker der Lücke ist alles sogar noch schlimmer als bisher gedacht.
Google Pay & PayPal: Das Problem soll behoben sein & Nutzer erhalten Geld zurück – es bleiben offene Fragen
Da hat PayPal wohl zu früh Vollzug gemeldet: Laut dem Unternehmen wurde das Problem der unberechtigten Abbuchungen behoben und der dreitägige Albtraum aller Nutzer somit beendet – aber das ist möglicherweise nur die halbe Wahrheit. Es ist gut möglich, dass der aktuelle Angriff gestoppt werden konnte, aber die Sicherheitslücke besteht weiterhin. Das wäre dann schon das zweite Mal, dass die Lücke bekannt wird und von PayPal nicht gestopft wird.
Hey @PayPal, the 90s called. They want their security back.
1. Generate random 7 digits
2. Your new credit card: 5356 8001 XXXX XXXY, where X is from 1, Y is check digit.
3. Expiry date, CVC, Card Holder are not verified. 1 in ~100 cards are assigned to random PP accnt.— iblue (@iblueconnection) February 26, 2020
Der Entdecker der Sicherheitslücke, der sie erstmals im Februar 2019 ausfindig gemacht hat (!), geht nun den Weg des „full disclosure“ und veröffentlicht die Details zur Lücke, um PayPal endlich zum handeln zu zwingen. Außerdem habe man nun die Bankenaufsicht in Luxemburg sowie das luxemburgische Finanzministerium über die gesamte Situation informiert. Das wird für PayPal also wohl noch längere und ernste Folgen haebn. Angesichts der Tatsache, dass die Lücke dem Unternehmen seit langer Zeit bekannt ist, muss man da aber auch kein Mitleid haben.
Laut dem Sicherheitsforscher ist es nach wie vor sehr leicht, eine gültige virtuelle PayPal-Kreditkarte zu erstellen und diese mit Google Pay zu verbinden. Dafür benötigt es etwa 100 Versuche, die durch Automatisierung natürlich schnell erledigt sind. Das soll nach wie vor funktionieren und wurde vom Sicherheitsforscher erst vor wenigen Stunden erneut erfolgreich getestet. Weil die ganze Geschichte aber sehr verworren ist und auch zu großen Teilen auf Spekulationen basiert, sollte man aktuell einfach nur auf PayPal bei Google Pay verzichten und warten, bis tatsächlich alle Sicherheitslücken gestopft sind.
Laut Medienberichten soll Google Pay die Zusammenarbeit mit PayPal temporär gestoppt haben, was sich aber zum aktuellen Stand als Falschmeldung entpuppt. Dass sich Google nach wie vor nicht öffentlich dazu äußert, macht die Sache natürlich nicht besser.
Google selbst hat mit der Sicherheitslücke nichts zu tun und Google Pay war bei dem Angriff der vergangenen Tage lediglich der Überträger, dennoch fällt natürlich immer wieder das Stichwort „Google Pay“, sodass eine kurze Stellungnahme vielleicht keine schlechte Idee wäre. Sollte Google tatsächlich die Zusammenarbeit mit PayPal temporär einstellen, dürften gerade in Deutschland viele Nutzer nicht mehr zahlen können. Denn aufgrund der mangelnden Banken-Unterstützung ist die Kombination mit der virtuellen PayPal-Kreditkarte sehr populär.
Google Pay: PayPal-Sicherheitslücke dürfte den Angriff ermöglichen – woher stammen die Kreditkarten-Daten?
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Ganz im Allgemeinen wäre etwas mehr Kommunikation seitens Google einfach wünschenswert. Beispiele gäbes es genug. (Stadia/G-Pay/Wear OS etc.)
Verstehe ich es richtig? Das Problem ist, dass man x-beliebige Kreditkarten zu Paypal hinzufügen kann, Paypal dabei aber CVC, inhaber usw. nicht prüft?
Ich habe gerade eine E-Mail an die luxemburgische und deutsche Bankenaufsicht geschrieben, dass sie den Fall bitte dringend prüfen sollen, bin selbst Betroffener und ich finde es ein Skandal wie lax Paypal mit der Sicherheitslücke umgeht, die haben eine Banklizenz! Google Pay nimmt eine für mich auch sehr unbefriedigende Rolle ein. Insgesamt wird hier – ausgerechnet in Deutschland – ein riesen Schaden für das Thema mobile Payment angerichtet.