PayPal via Google Pay: Lücke in virtuellen Kreditkarten erlaubt unberechtigte Abbuchungen

Für Abbuchungen bei PayPal via Google Pay haben Kriminelle möglicherweise eine Lücke missbraucht, die PayPal schon seit einem Jahr kennt.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 211 Beiträge

(Bild: Shutterstock / Tero Vesalainen)

Update
Von

Seit einigen Tagen berichten deutsche Nutzer, die PayPal mit dem Bezahldienst Google Pay verknüpft haben, von unberechtigten Abbuchungen aus den USA. Nachdem verschiedene Medien das Thema aufgegriffen haben, hat PayPal die Vorfälle nun in einem ersten, sehr vagen Statement indirekt bestätigt.

Dazu, was hinter den Vorgängen steckt, über die heise online am gestrigen Montag berichtete, äußerte sich PayPal bislang nicht. Allerdings hat sich der Sicherheitsforscher Markus Fenske via Twitter zu Wort gemeldet, der hinter den Abbuchungen eine von ihm bereits im Februar 2019 entdeckte – und zeitnah an PayPal gemeldete – Sicherheitslücke vermutet.

Nach eigenen Angaben erhielt Fenske damals eine Bug Bounty, also eine Belohnung, in Höhe von 4.400 US-Dollar von PayPal. Er fragte anschließend mehrfach nach, ob die Lücke geschlossen wurde und gab schließlich auf, als er keinerlei Rückmeldung bekam.

Mittlerweile hat PayPal das Problem nach eigenen Angaben beseitigt; Fenske sagt jedoch, dass die Lücke weiterhin ausnutzbar sei (siehe Update am Ende der Meldung).

Die von Fenske entdeckte Sicherheitslücke betrifft virtuelle PayPal-Kreditkarten. Verknüpft man auf dem Smartphone sein PayPal-Konto mit Google Pay, erzeugt PayPal eine virtuelle Mastercard mit der üblichen 16-stelligen Nummer und einem Ablaufdatum.

Sofern die PayPal-Kreditkarte bei Google Pay als Standard-Zahlmethode hinterlegt ist, lassen sich diese Daten über ein zweites Handy, auf dem eine Kartenlese-App installiert ist, per NFC auslesen – ein Angriffsweg, den Fenske im Zusammenhang mit den aktuellen Fällen aber für eher unwahrscheinlich hält. Zumal viele betroffene Nutzer wohl berichteten, NFC auf ihren Geräten deaktiviert zu haben. "Wir gehen mittlerweile davon aus, dass die Kreditkartendaten am wahrscheinlichsten per Brute Force erbeutet wurden", sagte er gegenüber heise Security.

In einem aktuellen Statement auf Twitter fügte Fenske hinzu, dass die ersten acht Ziffern der Karten, zumindest im Falle der virtuellen deutschen PayPal-Mastercards, mit denen er und sein Team das Problem testeten, immer identisch gewesen seien. Sie ergäben sich aus der verwendeten Bank Identification Number (BIN). Somit seien "nur" noch sieben Stellen zu knacken. Denn bei der dann noch fehlenden der insgesamt 16 Stellen handle es sich um eine Prüfziffer, die sich aus den übrigen berechnen lasse.

Im Normalfall sollten Datendiebe mit den erbeuteten Daten nichts anfangen können, da die virtuelle Kreditkarte ausschließlich an einem Kassenterminal funktionieren soll. Bei diversen Banken, deren Kreditkarten sich mit Google Pay verknüpfen lassen, ist das nach unseren Informationen auch der Fall: Sie erzeugen ein digitales Abbild der physischen Karte, das zugleich eine neue Nummer erhält. Für Onlineeinkäufe sind diese Kreditkartennummern gesperrt; sie funktionieren außerdem nur mit der Google-Pay-Installation, für die sie erzeugt wurden.

Bei der virtuellen Kreditkartennummer von PayPal ist dies laut Fenske und dem Blogger Caschy, der das Ganze ausprobiert hat, offenbar anders. Laut Caschys Blog lassen sich die ausgelesenen Daten der virtuellen PayPal-Mastercard beispielsweise in einer anderen Google-Pay-Installation hinterlegen. Bei der Sicherheitsabfrage der dreistelligen CVC, die man bei einer physischen Karte auf der Rückseite findet, funktioniert eine beliebige dreistellige Zahl. Die Zwei-Faktor-Authentifizierung, die man bei PayPal wahlweise aktivieren kann, greift hier ebenfalls nicht.

Das vorsorgliche Trennen von Paypal und Google Pay ist zwar empfehlenswert, hilft aber nur dann weiter, wenn noch keine Daten erbeutet wurden. Markus Fenske rät stattdessen dazu, die virtuelle Kreditkarte zu deaktivieren beziehungsweise die Abbuchungsvereinbarung mit Google Pay zu beenden, damit via Google Pay keine Abbuchungen mehr vom PayPal-Konto möglich sind.

Wie das funktioniert, erläutert Paypal im Hilfecenter: Man loggt sich bei PayPal ein, klickt auf das Zahnrad, dann auf "Zahlungen" und von dort aus auf "Zahlungen im Einzugsverfahren verwalten". Dort kann man laut PayPal die "neueste aktive Abbuchungsvereinbarung von Google, Inc." stornieren. Alternativ kann man auch die im Hilfecenter genannte Support-Hotline anrufen.

Update 25.02., 14:30 / 15:15 / 16:00:

Dass die von Fenske entdeckte Sicherheitslücke bei den aktuellen Betrugsfällen ausgenutzt wurde, ist denkbar. PayPal hat sich dazu auf Nachfrage von heise Security nicht geäußert.

Allerdings liegt heise Security ein neues Statement des Unternehmens vor: Das Problem sei inzwischen behoben worden, heißt es darin. "Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen."

Weiter heißt es: "Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten." Eine Aussage, die angesichts der Tatsache, dass indirekt ja sehr wohl ein unbefugter Kontenzugriff stattfand, irritiert.

Betroffenen Kunden sollen sämtliche nicht autorisierte Zahlungen zurückerstattet werden.

Noch scheint es allerdings zu früh, getroffene Sicherheitsmaßnahmen rückgängig zu machen beziehungsweise solche gar nicht erst zu treffen.

Markus Fenske bemerkte gegenüber heise Security, dass er und sein Team PayPals Aussage nicht bestätigen könnte(n). Im Gegenteil: "Wir haben gerade einen Euro auf mein Amazon-Konto geladen, mit einer Karte, die wir vor 10 Minuten per NFC ausgelesen haben." (ovw)