Im Februar 2020 missbrauchten Cybergangster im großen Stil eine Sicherheitslücke bei den für Google Pay erzeugten virtuellen PayPal-Kreditkarten für unberechtigte Abbuchungen. Die Forscher, die die Lücke damals entdeckten, hatten PayPal nach eigenen Angaben schon im Februar 2019 über die Details in Kenntnis gesetzt.

Zwar hatte das Unternehmen Ende Februar beteuert, "das Problem" (welches, blieb im Dunkeln) endlich behoben zu haben, den Analysen des Forscherteams zufolge blieb die Lücke jedoch weiterhin ausnutzbar. Nun soll PayPal klammheimlich nachgebessert haben: nach Angaben der Forscher erfolgte ein vollständiger Fix erst innerhalb der letzten vier Wochen.

Betrugswelle ebbte ab – Lücke blieb

Über die Details zu den Vorgängen hat heise Security im Februar ausführlich berichtet. Die Empfehlung von Markus Fenske aus dem Forschertam lautete damals, die von PayPal bei der Verknüpfung mit Google Pay erzeugte Mastercard bis auf weiteres zu deaktivieren beziehungsweise die Abbuchungsvereinbarung mit Google Pay zu beenden, damit via Google Pay keine Abbuchungen mehr vom PayPal-Konto vornehmen konnte.

In den Wochen darauf wurde es still um die Lücke: Die Erfahrungsberichte geprellter PayPal-Nutzer, die sich zuvor in Foren mit anderen ausgetauscht hatten, ebbten ab. Vermutlich deshalb, weil viele Nutzer die angeratene Vorsichtsmaßnahme umsetzten und die Masche für Betrüger deshalb unattraktiv wurde. Offenbar setzte PayPal auch seine Ankündigung unbefugt abgebuchte Beträge unkompliziert zurückzuerstatten, zur Zufriedenheit der Nutzer in die Tat um.

"Irgendwann in den letzten 4 Wochen behoben"

Auf Anregung eines Lesers hin hat heise Security noch einmal bei Markus Fenske nachgefragt, ob sich seit Februar bezüglich der Sicherheitslücke etwas getan habe. Die Forscher haben daraufhin sowohl mit alten als auch mit neu erzeugten virtuellen Kreditkarten getestet, ob sich die Lücke noch immer ausnutzen lässt.

Am 12. April teilte uns Fenske mit, dass dies tatsächlich nicht mehr möglich sei: "Wir konnten weder bei Wikimedia spenden, noch bei Amazon einkaufen, weder mit den neuen noch mit den alten Karten." Allerdings habe sein Forscherkollege Mitte vergangenen Monats über die Lücke noch seine Parktickets bezahlen können. "Das Problem wurde also tatsächlich irgendwann in den letzten 4 Wochen behoben."

Ein paar Wochen zuvor sei es noch möglich gewesen, die Lücke mit alten virtuellen Kreditkarten zu missbrauchen, während PayPal zumindest bei neuen Karten bereits zu diesem Zeitpunkt Überprüfungen der "CVV und/oder des Ablaufdatums" vorgenommen habe. PayPal habe im Zusammenhang mit den Lücken allerdings nichts mehr von sich hören lassen.

Zu beachten ist, dass die Forscher keine umfangreichen Tests des aktuellen Stands, sondern lediglich eine kurze Überprüfung vorgenommen haben. Dass man nun mit gutem Gefühl Google Pay und PayPal wieder miteinander verknüpfen kann, lässt sich daraus nicht ableiten.

Nochmal nachgehakt

Obwohl sich PayPal gegenüber heise Security schon früher nicht zu der Sicherheitslücke äußern und auch nicht beantworten wollte, ob das angeblich im Februar beseitigte "Problem" überhaupt auf der Lücke basierte, haben wir – allerdings sehr kurzfristig – noch einmal bei dem Unternehmen bezüglich des nun anscheinend vorgenommenen Fixes nachgehakt. Eine Antwort steht noch aus.

