[English]Berichten zufolge hat PayPal wohl die Schwachstelle, mit der vor einigen Wochen unberechtigte Abbuchungen über Google Pay möglich waren, stillschweigend geschlossen. Allerdings gibt es neue unberechtigte Abbuchungen aus Russland.
Anzeige
Rückblick: Darum geht es
Ende Februar 2020 wurde bekannt, dass deutsche PayPal-Nutzer Opfer von unberechtigten Abbuchungen für fingierte Bestellungen über Google Pay wurden. Die Leute stellten plötzlich Belastungen auf ihrem PayPal-Konto in Höhe von mehreren hundert Euro fest, die angeblich über Einkäufe mittels Google Pay in US-Target- und Starbucks-Filialen getätigt wurden. Nachfolgender Screenshot aus dem Google Pay-Forum stammt von einem der Betroffenen und listet einige dieser ominösen Zahlungen auf.
(Paypal: Unberechtigte TARGET-Abbuchungen, Google Pay-Forum)
Ich hatte im Blog-Beitrag Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal über die Details berichtet. Später ging mir von PayPal eine Erklärung zu, dass es nur eine geringe Zahl Betroffener gegeben habe und diesen die Abbuchungen erstattet würden. Das ist im Blog-Beitrag Neues zu unberechtigten PayPal-/Google Pay-Abbuchungen thematisiert.
Sicherheitslücke vermutet
Anzeige
Im Rahmen der Recherchen zu diesem Beitrag bin ich hier auf den nachfolgenden Tweet gestoßen.
Reported a critical issue to PayPal ONE YEAR AGO.
"Not an issue. Please self-close". Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up.
Found that it's actively exploited by now. Sorry PP, you suck.https://t.co/48IVszRqlb
— iblue (@iblueconnection) February 24, 2020
Ein Sicherheitsforscher gab an, bereits Anfang 2019 eine Schwachstelle in der PayPal-Google Pay-Schnittstelle gefunden zu haben und das Unternehmen darüber informiert zu haben. Der Sicherheitsforscher Markus Fenske hatte gegenüber heise einige Details der Schwachstelle offen gelegt. Das wurde in diesem Artikel veröffentlicht. Allerdings passierte damals nichts in Bezug auf einen Fix der Schwachstelle.
Schwachstelle klammheimlich geschlossen
Die Betrugswelle ebbte zwar Ende Februar 2020 ab und die Betroffenen erhielten von PayPal ihr Geld erstattet. Aber ein ungutes Gefühl, dass das jederzeit erneut auftreten könnte, blieb zurück. Sicherheitsforscher Markus Fenske empfahl, die von PayPal bei der Verknüpfung mit Google Pay erzeugte Mastercard zu deaktivieren und die Google Pay-Abbuchungsvereinbarung Pay zu beenden. Damit waren Google Pay-Abbuchungen vom PayPal-Konto unmöglich. Diese Empfehlung sollte auch weiter beherzigt werden.
Die Redaktion von heise hat kürzlich beim Sicherheitsforscher Markus Fenske bezüglich des Stands der Schwachstelle nachgefragt. Das betreffende Sicherheitsteam hat dann erneut Tests mit virtuellen Kreditkarten vorgenommen und stellte fest, dass die bekannte und gemeldete Schwachstelle offensichtlich geschlossen wurde. In diesem Artikel berichtet heise darüber und gibt an, dass der Fix 'irgendwann die letzten 4 Wochen' vorgenommen worden sein muss. Von PayPal gibt es, auch auf Anfrage von heise, keine Verlautbarungen zu diesem Thema.
Erneut unberechtigte Abbuchungen?
Caschy berichtet andererseits in diesem Beitrag vom 16. April 2020 auf Stadt-Bremerhaven.de, dass es wohl erneut unberechtigte Abbuchungen von PayPal gebe. Leser haben sich bei Caschy gemeldet und beklagen unberechtigte Abbuchungen in Höhe von 3,29 Euro durch ein Netzwerk VKontakte. Das ist ein russisches soziales Netzwerk und die Abbuchungen sind in kyrillischer Schrift.
(Unberechtige VKontakte-Abbuchung, Quelle: Stadt-Bremerhaven.de)
Cachy hat den obigen Screenshot mit einer solchen Abbuchung veröffentlicht. Der angebliche Händler, der die Abbuchung veranlasst hat, gibt als Zahlungsadresse noreply+support@google.com an. Also eine Adresse, wo die Zahlung niemals hingegangen sein kann. Es sieht so aus, als ob da weitere Schwachstellen bei PayPal und/oder Google Pay schlummern – obwohl Caschy schreibt, dass es nicht so aussieht, dass die Google Pay-Schnittstelle betroffen sei.
Ergänzung: Sucht man weiter, stößt man auf Foreneinträge bzw. Kommentare in Blogs wie hier und hier, wo ebenfalls unberechtigte Abbuchungen reklamiert werden. In diesem PayPal-Thread wird ein gehacktes Konto als Ursache angegeben – ob das stimmt, lässt sich nicht verifizieren. Im PayPal-Forum gibt es einige Einträge zu unberechtigten Abbuchungen (hier Lastschriften) – die Ursache (Konto gehackt) ist aber unklar.
Ähnliche Artikel:
Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal
Neues zu unberechtigten PayPal-/Google Pay-Abbuchungen
Patzt PayPal bei der Sicherheit? Schwachstellen ungefixt
Massen-Newsletter-Spam und der Paypal-Konten-Hack
Die 'schmutzigen' Seiten des PayPal-Hacks
Anzeige