Seit einigen Tagen berichten deutsche Nutzer, die PayPal mit dem Bezahldienst Google Pay verknüpft haben, von unberechtigten Abbuchungen aus den USA. Nachdem verschiedene Medien das Thema aufgegriffen haben, hat PayPal die Vorfälle nun in einem ersten, sehr vagen Statement indirekt bestätigt.

Dazu, was hinter den Vorgängen steckt, über die heise online am gestrigen Montag berichtete, äußerte sich PayPal bislang nicht. Allerdings hat sich der Sicherheitsforscher Markus Fenske via Twitter zu Wort gemeldet, der hinter den Abbuchungen eine von ihm bereits im Februar 2019 entdeckte – und zeitnah an PayPal gemeldete – Sicherheitslücke vermutet.

Nach eigenen Angaben erhielt Fenske damals eine Bug Bounty, also eine Belohnung, in Höhe von 4.400 US-Dollar von PayPal. Er fragte anschließend mehrfach nach, ob die Lücke geschlossen wurde und gab schließlich auf, als er keinerlei Rückmeldung bekam.

Virtuelle Kreditkartendaten wohl via Brute-Force erbeutet

Die von Fenske entdeckte Sicherheitslücke betrifft virtuelle PayPal-Kreditkarten. Verknüpft man auf dem Smartphone sein PayPal-Konto mit Google Pay, erzeugt PayPal eine virtuelle Mastercard mit der üblichen 16-stelligen Nummer und einem Ablaufdatum.

Sofern die PayPal-Kreditkarte bei Google Pay als Standard-Zahlmethode hinterlegt ist, lassen sich diese Daten über ein zweites Handy, auf dem eine Kartenlese-App installiert ist, per NFC auslesen – ein Angriffsweg, den Fenske im Zusammenhang mit den aktuellen Fällen aber für eher unwahrscheinlich hält. Zumal viele betroffene Nutzer wohl berichteten, NFC auf ihren Geräten deaktiviert zu haben. "Wir gehen mittlerweile davon aus, dass die Kreditkartendaten am wahrscheinlichsten per Brute Force erbeutet wurden", sagte er gegenüber heise Security.

In einem aktuellen Statement auf Twitter fügte Fenske hinzu, dass die ersten acht Ziffern der Karten, zumindest im Falle der virtuellen deutschen PayPal-Mastercards, mit denen er und sein Team das Problem testeten, immer identisch gewesen seien. Sie ergäben sich aus der verwendeten Bank Identification Number (BIN). Somit seien "nur" noch sieben Stellen zu knacken.

Online-Einkäufe und kaputte Verifizierung

Im Normalfall sollten Datendiebe mit den erbeuteten Daten nichts anfangen können, da die virtuelle Kreditkarte ausschließlich an einem Kassenterminal funktionieren soll. Bei diversen Banken, deren Kreditkarten sich mit Google Pay verknüpfen lassen, ist das nach unseren Informationen auch der Fall: Sie erzeugen ein digitales Abbild der physischen Karte, das zugleich eine neue Nummer erhält. Für Onlineeinkäufe sind diese Kreditkartennummern gesperrt; sie funktionieren außerdem nur mit der Google-Pay-Installation, für die sie erzeugt wurden.

Bei der virtuellen Kreditkartennummer von PayPal ist dies laut Fenske und dem Blogger Caschy, der das Ganze ausprobiert hat, offenbar anders. Laut Caschys Blog lassen sich die ausgelesenen Daten der virtuellen PayPal-Mastercard beispielsweise in einer anderen Google-Pay-Installation hinterlegen. Bei der Sicherheitsabfrage der dreistelligen CVC, die man bei einer physischen Karte auf der Rückseite findet, funktioniert eine beliebige dreistellige Zahl. Die Zwei-Faktor-Authentifizierung, die man bei PayPal wahlweise aktivieren kann, greift hier ebenfalls nicht.

Google Pay die Einzugsermächtigung entziehen

Das vorsorgliche Trennen von Paypal und Google Pay ist zwar empfehlenswert, hilft aber nur dann weiter, wenn noch keine Daten erbeutet wurden. Markus Fenske rät stattdessen dazu, die virtuelle Kreditkarte zu deaktivieren beziehungsweise die Abbuchungsvereinbarung mit Google Pay zu beenden, damit via Google Pay keine Abbuchungen mehr vom PayPal-Konto möglich sind.

Wie das funktioniert, erläutert Paypal im Hilfecenter: Man loggt sich bei PayPal ein, auf das Zahnrad, dann auf "Zahlungen" und von dort aus auf "Zahlungen im Einzugsverfahren verwalten". Dort kann man laut PayPal die "neueste aktive Abbuchungsvereinbarung von Google, Inc." stornieren. Alternativ kann man auch die im Hilfecenter genannte Support-Hotline anrufen.

Update 25.02., 14:30:

PayPal will das Problem behoben haben

Dass die von Fenske entdeckte Sicherheitslücke bei den aktuellen Betrugsfällen ausgenutzt wurde, ist denkbar. PayPal hat sich dazu auf Nachfrage von heise Security bislang noch nicht geäußert.

Allerdings liegt heise Security ein neues Statement des Unternehmens vor: Das Problem sei inzwischen behoben worden, heißt es darin. "Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen."

Weiter heißt es: "Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten." Eine Aussage, die angesichts der Tatsache, dass indirekt ja sehr wohl ein unbefugter Kontenzugriff stattfand, irritiert.

Betroffenen Kunden sollen sämtliche nicht autorisierte Zahlungen zurückerstattet werden. (Olivia von Westernhagen, Markus Montz) / (ovw)