Der Entdecker einer Sicherheitslücke in virtuellen PayPal-Kreditkarten, die mit hoher Wahrscheinlichkeit die Basis für eine Vielzahl aktueller unberechtigter Abbuchungen bildet, hat weitere Lücken-Details veröffentlicht. Diese zeigen, dass sie noch leichter ausnutzbar ist als ursprünglich angenommen. Mit der Offenlegung dieser Details reagierte der Forscher auf den Umstand, dass PayPal die Lücke seinen Tests zufolge noch immer nicht geschlossen hat.

PayPal hatte in einem Statement vom gestrigen Dienstag behauptet, "das Problem" mit den unberechtigten Abbuchungen behoben zu haben. "Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen", hieß es weiter. Betroffenen Kunden würden sämtliche nicht autorisierte Zahlungen zurückerstattet.

Zu der Frage, ob für "das Problem" die besagte Sicherheitslücke verantwortlich ist/war, wollte sich PayPal gegenüber heise Security allerdings nicht äußern.

Lücken in virtuellen PayPal-Kreditkarten

Wie heise online am vergangenen Montag berichtete, hatten deutsche Nutzer, die PayPal mit dem Bezahldienst Google Pay verknüpft haben, unberechtigte Abbuchungen von ihren PayPal-Konten aus den USA beobachtet. Teilweise wurden Summen in vierstelliger Höhe abgebucht. Daraufhin meldete sich der Sicherheitsforscher Markus Fenske zu Wort: Er vermutete hinter den Abbuchungen eine von ihm bereits im Februar 2019 entdeckte – und zeitnah an PayPal gemeldete – Sicherheitslücke.

Tatsächlich gelang es ihm und seinem Team nachzuweisen, dass die besagte Lücke noch immer angreifbar ist und somit durchaus die Ursache für die Abbuchungen sein könnte. Angreifer können sie ausnutzen, um via NFC-Verfahren oder Brute-Force erbeutete virtuelle Kreditkarten unbeschränkt für Online-Einkäufe zu nutzen.

Bei besagten virtuellen Kreditkarten handelt es sich um virtuelle Mastercards, die PayPal immer (!) dann automatisch generiert, wenn man auf dem Smartphone sein PayPal-Konto mit Google Pay verknüpft.

Weitere technische Details haben wir in einer zweiten Meldung geschildert.

Fenske: PayPal überprüft keinerlei zusätzliche Parameter

Gegenüber heise Security und auf Twitter schilderte Fenske nun neue Erkenntnisse des Forscherteams: Tatsächlich würden "bei den virtuellen Kreditkarten, die PayPal zum Zwecke der Zahlungsabwicklung bereitstellt, außer der Kartennummer keine Parameter geprüft". Zuvor hatte das Team angenommen, dass zumindest das Ablaufdatum geprüft werde.

Die vollständig fehlende Überprüfung bedeutet laut Fenske, "dass man nur ca. 100 Versuche braucht, um eine gültige Kreditkartennummer zu generieren, mit der man beliebig Geld von einem zufälligen PayPal-Account einziehen kann".

"Wir gehen diesmal den Weg der full disclosure, um PayPal zu zwingen zu reagieren", begründete Feske die Offenlegung der Lücken-Details via Twitter. Um PayPal zum Handeln zu zwingen, habe man außerdem die zuständige Bankenaufsicht in Luxemburg, und in Anbetracht der Anzahl der betroffenen Kunden, das luxemburgische Finanzministerium informiert.

PayPal als Bezahlart in Google Pay (teilweise) deaktiviert?

Als Vorsichtsmaßnahme rät Fenske dazu, die von PayPal bei der Verknüpfung mit Google Pay erzeugte Mastercard zu deaktivieren beziehungsweise die Abbuchungsvereinbarung mit Google Pay zu beenden, damit via Google Pay keine Abbuchungen mehr vom PayPal-Konto möglich sind.

Wie das funktioniert, erläutert Paypal im Hilfecenter: Man loggt sich bei PayPal ein, klickt auf das Zahnrad, dann auf "Zahlungen" und von dort aus auf "Zahlungen im Einzugsverfahren verwalten". Dort kann man laut PayPal die "neueste aktive Abbuchungsvereinbarung von Google, Inc." stornieren. Alternativ kann man auch die im Hilfecenter genannte Support-Hotline anrufen.

Möglicherweise hat Google seinerseits ebenfalls auf die Vorgänge reagiert: Wie unter anderem in Caschys Blog zu lesen ist, soll aus einigen Google-Pay-Accounts heraus das Hinzufügen von PayPal als Zahlungsmittel nicht mehr möglich sein. Einige Kommentare unter dem Beitrag sowie Tests in der heise-online-Redaktion haben aber gezeigt, dass diese Änderung zumindest nicht für alle Accounts gilt: Uns wurde die Option der Verknüpfung weiterhin angezeigt. War PayPal zuvor als Standard-Bezahlmethode eingestellt, wurde dies zudem auch nicht automatisch geändert.

Die bisherigen Meldungen zu diesem Thema im Überblick:

