PayPal und Google Pay: Problem unberechtigter Abbuchungen soll behoben sein
Wir haben das Thema PayPal und die unberechtigten Abbuchungen über Google Pay nach Informationen unserer Leser stark im Auge behalten und darüber berichtet.
In Kurzform: Viele Nutzer fanden Abbuchungen vor, die in Verbindung mit Google Pay getätigt wurden. Meistens war es der US-Händler Target, der teils für hohe Summen bei Abbuchungen sorgte.
Nachdem wir die Thematik etwas entwirren konnten, gaben wir heute noch Sicherheitstipps weiter. Laut PayPal muss man diese wohl nicht mehr beherzigen.
Man will das Problem gelöst haben und spricht zudem nur von „wenigen Nutzern“ in der Stellungnahme uns gegenüber, die betroffen waren.
Google Pay: So könnt ihr euch gegen unberechtigte PayPal-Abbuchungen schützen
Google Pay: Virtuelle PayPal-Kreditkarten weisen Sicherheitslücken auf
PayPal gibt in Causa „Unberechtigte Google Pay Abbuchungen“ ein erstes Statement ab
Zahlreiche Kunden betroffen: Unberechtigte Abbuchung von PayPal über Google Pay
Wir haben uns unverzüglich der Behebung dieses Problems angenommen. Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen. Das Problem wurde inzwischen behoben.
Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten.
Gemäß unserer Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten.
PayPal spricht von einem behobenen Problem, teilt aber nicht mit, wo dieses gelegen hat. Wir haben diesbezüglich angefragt, rechnen aber mit einer Antwort, dass man aus Sicherheitsgründen darüber nicht sprechen werde. Update: Richtig geraten. Zu den Ursachen des Problems machen wir keine Angaben. Ich bitte Sie diesbezüglich um Verständnis.
Das Problen liegt daran das der unbedarfte Durchschnittsnutzer, oder auch DAU, nie die NFC Funktion am Handy deaktiviert hat und so jemand die Daten im vorbei gehen ausgelesen hat! Das sollte doch aber für ein Technikblog offensichtlich sein! Das selbe Problem gibt es bei allen Zahlkarten mit NFC, da hilft nur deaktivieren oder noch besser das Funkkabel in der Karte mit einem kleinen Schnitt in die Karte deaktivieren.
Juhu! Schön, dass Sie das für uns so treffend analysiert haben. Sind das die Ergebnisse aus Ihren Gesprächen mit Finanzinstitutionen und PayPal/Google? 🙂
Der unbedarfte Durchschnittsnutzer dürfte kein Google Pay in Verbindung mit Paypal nutzen. Der Betrug funktioniert nur mit lokalen Helfern in den USA. Vermute eher, dass jemand aus den USA die Daten bei einer Abrechnungsfirma geklaut hat. Das ganze wird man leicht nachverfolgen können.
Panikmache? Im Normalfall erlangt man auf den Weg nicht ausreichende Informationen um damit später einkaufen zu können. Die CVC z.B. wird nicht übermittelt
Bei diesem Fall konnte man eine beliebige CVC eintragen, wurde immer akzeptiert. Ist halt eine schlechte Implementierung der virtuellen Kreditkarte seitens PayPal.
Ich denke die weitere Vermutung von Golem, dass einfach zufällige Kartennummernkombinationen (die ersten 8 Ziffern sind immer gleich) zufällig getestet wurden, ist auch nicht unrealistisch. Da die CVC Nummern nicht abgefragt wurden muss nur noch das Enddatum geraten werden. Das wäre automatisiert machbar..
Das ist auch die Wahrscheinlichste.
Hat man erst einmal den Grundblock der virtuellen Mastercard von Paypal gefunden, lässen sich endlos weitere generieren. Der Algorithmus ist ja weit bekannt.
Schutz gab es immer nur mit zusätzlichen Daten. Erst das Gültigkeitsdatum, dann der CVC-Code.
Da in den USA viele Händler diese Sicherheitsmaßnahmen nicht anfragen, kommt das dort auch öfter vor.
Amazon fragt auch nur das Gültigkeitsdatum ab. CVC oder 2. Faktor der Banken fragen die nicht ab.
Und so kam es, dass man mit der Nummer meiner 2. Visa-Karte versucht hat, bei Amazon einzukaufen. Dabei ist das meine Notfallkarte, die noch nie eingesetzt wurde und Zuhause lag.
Da würden bei Amazon auch diverse Kartennummer durchprobiert. Es liegt ja auf der Hand, hat man eine gültige Nummer mit Gültigkeitsdatum, werden die nächsten Kartennummern wahrscheinlich das gleiche Gültigkeitsdatum haben. Eine Bank gibt ja nicht nur eine Visa pro Monat aus.
Fake News.
An eine Verkettung unglücklicher Zustände glaub ich nu nicht.
Hättest Du mal die entsprechenden Meldungen und die Kommentare der betroffenen User gelesen (auch hier im Technikblog), hättest Du Dir Deinen überheblichen Kommentar sparen können. Also, 6 setzen und zurück an die Arbeit.
Kinder in diesem Alter gehen keiner geregelten Arbeit nach. Sie gehen recht oft zum spielen in den Kindergarten.
Tja ganz ehrlich Paypal ist für die Zukunft bei mir raus. Virtuelle Kreditkarten ohne CVC oder Namensprüfung. Das war dann jetzt für mich der letzte Tropfen.
Dito. Gerade ein Konto (das deutschem Recht unterliegt) aufgemacht, welches ausschließlich für Onlinezahlungen genutzt wird.
PayPal ist für mich raus.
Netter Joke. Wenn Dritte keinen Zugriff auf die Paypal Konten besaßen, wie soll das dann bitte funktioniert haben.
Schlechter PR-Move. Zu bestätigen das eine Sicherheitslücke ausgenutzt wurde die schon „Ewigkeiten“ besteht wäre als Finanzdienstleister ein Armutszeugnis. Also kleine Brötchen backen und unter den Tisch kehren.
Ich vergleiche mal kurz mit Apple Pay:
1.) Entsperrtes Android Phone = Alle Zahlungen möglich? Super Idee, weil man ein entsperrtes Phone ja auch nie irgendwo an fremden Orten ablegt, wo wohlmöglich ein boshafter NFC Reader versteckt sein könnte. Jeder IT Erstsemester (und so auch Apple) kommt auf die Idee jede einzelne Zahlung nochmal autorisieren zu lassen (biometrisch oder eben mit Code).
2.) Bei der Zahlung mittels Google Pay werden die Kreditkartendaten der hinzugefügten Kreditkarte übergeben? Na super, dann ist der Zahldienst ohnehin nur genau so sicher wie eine gewöhnliche Karte. Warum nicht die Vorteile der potenteren Hardware nutzen und (wie Apple) nur einmalig gültige Transaktions IDs übermitteln?
Ich muss sagen, dass ich insgesamt weniger die Schuld bei Paypal sehe und mehr bei Googles Pay-Implementierung. Da ist ja jede hinzugefügte Kreditkarte den gleichen Risiken ausgesetzt…
Lies bitte hier nochmal ab Abschnitt „Eure echten Kreditkartendaten sind bei beiden Diensten nicht auf den Geräten abgelegt“ nach, bevor hier jeder wieder Sonstiges in die Welt setzt:
https://t3n.de/news/apple-pay-vs-google-pay-1132894/
Ich erklär’s dir… nochmal…
zu 1.) Ja, ist so, deshalb sollte man als normaler Mensch sein Telefon nie irgendwo entsperrt liegen lassen. Machst du das so? Ich nicht. Auch nach dem Bezahlen einfach per Tastendruck wieder sperren, fertig.
zu 2.) Hättest du dich über die Arbeitsweise von GPay informiert, würdest du wissen, dass hier selbstverständlich KEINE originalen KK-Daten, sondern die einer virtuellen und nur per GPay nutzbaren Karte übertragen werden. Nicht so elegant wie Apple mit dem Tokensystem aber prinzipiell nicht unsicherer.
Auch Google Pay nutzt ein Tokensystem. 🙂
https://support.google.com/pay/merchants/answer/6345242?hl=de
Zusatz zu 1) Ohne Displaysperre lässt sich Google Pay nicht einrichten. Verhält sich also genau wie Apple Pay. Mit einem Unterschied: Google Pay erlaubt einige Zahlungen bis 25€ (wie auch viele physische Karten)
> dass hier selbstverständlich KEINE originalen KK-Daten
Warum kann man dann mit einer simplen NFC-App die Kartennummer und das Ablaufdatum auslesen?
Weil die NFC-App auf dem gleichen Gerät installiert ist, wie GPay und beim Starten der App das Gerät ja entsperrt ist.
Davon abgesehen, erhältst Du nicht die Nummer der hinterlegen Karte deiner Bank, sondern die, der extra dafür erzeugte virtuellen Karte. Du nützt normalerweise garnichts, weil die eben an GPay und dessen Token gebunden ist.
Aber das hatte PayPad ja vergessen, bei den Karten zu hinterlegen, so das die Nummern als normale Kartendaten mit der Option „show not required“ im System von Mastercard registriert waren/sind.
Und wenn die US-Händler, wie oft dort üblich, die Sicherheitsmerkmale wie CVC nicht prüfen, kann man die eigentlich virtuelle Kartenummer auch ohne Token einsetzen.
Für PayPal sind diese Zahlungen leicht zu identifizieren, der Dumme ist der US-Händler, wenn er die Ware schon rausgegeben hat. Denn Zahlungssicherheit haben auch US-Händler nur mit Prüfung der Sicherheitsmerkmale.
Bei meinem letzten US-Besuch wurden die auch immer ganz nervös, wenn ich auf die Frage: „Kredit or Debit“ mit Kredit geantwortet haben und antwortenen nicht selten mit „please show me your id“. Die USA ticken halt anders im Zahlwesen.
Was hat irgendeine App damit zu tun? GPay ist ein Systemdienst. Die Frage stellt sich weiterhin.
PS: jetzt verstehe ich erst was du meinst. Die NFC-App ist natürlich nicht auf dem gleichen Gerät installiert. Die wird mit einem zweiten Gerät abgefischt.
In Google Pay werden keine originalen Kreditkarten Daten abgespeichert.
Da hat PayPal mehrfach geschlampt bei der Umsetzung der virtuellen Kreditkarte. Zumal jeder Name und CVC akzeptiert wird.
https://twitter.com/iblueconnection/status/1232259071602044928
Gerade selber den Test gemacht, Google Pay auf ein Testgerät installiert, DKB Kreditkarte eingepflegt und versucht mit einem zweiten Gerät auszulesen: Funktioniert nicht.
https://stadt-bremerhaven.de/google-pay-virtuelle-paypal-kreditkarten-weisen-sicherheitsluecken-auf/
Macht trotzdem keinen Sinn. Ich frage mich warum hier nur Paypal verantwortlich sein soll. Bei ner Zahlung mit GPay ist keine App involviert. Das ist ein Systemdienst, der eigentlich ein Kryptogramm an das Terminal senden soll, im Falle von Paypal aber die Kartennummer preisgibt. Folglich hat Google hier mitgeholfen.
Moin, Benachrichtigungen haben leider nicht funktioniert, deshalb erst jetzt Antwort…
zu 1) Es ging nicht um „liegen lassen“ sondern wie gesagt _ablegen_. Selbst wenn ich dabei die volle Kontrolle über mein Gerät habe — was soll ich noch machen, wenn ich mein entsperrtes Android Gerät auf einem Tisch im öffentlichen Raum ablege (um bspw. einen Blogbeitrag in Ruhe zu lesen) und jemand in diesem Tisch unsichtbar ein Terminal eingebaut hat, dass kontinuierlich probiert 500€ abzuheben? Meiner Meinung nach soll der der Smartphone-Zustand „entsperrt“ ungleich einer Zahlungsautorisierung sein. Es muss ja nichtmal wie bei Apple Pay eine erneute biometrische Autorisierung sein, es würde ja auch eine einfache Interaktion wie ein „Zahlen“ Button reichen. Wobei der dann immer noch nicht gegen Raub eines entsperrten Smartphones aus der Hand schützen würde…
zu 2) Sorry, unklar ausgedrückt. Ich meinte nicht die originalen KK Daten (einer potentiell realen Plastikkarte), sondern, dass dauerhaft dieselben gültigen KK Daten übergeben werden. Auch wenn diese Daten nur von der virtuellen GooglePay-Kartenversion meiner Plastik-KK sind, ist es bei jeder Zahlung dieselbe. Das ist verglichen zu dem Token System von Apple massiv unterlegen in Bezug auf a) Datenschutz (Verhaltensanalyse durch Händler) und b) Sicherheit. Denn wenn es jemandem gelingt ein Apple Pay Gerät mit beliebigen Zahldaten zu emulieren, kann er immer noch nicht einfach die Kartennummer von einem Apple Pay Gerät kopieren, da diese nach jeder Zahlung ungültig wird. Schaffte es jemand ein Google Pay Gerät zu emulieren, kann er von jedem entsperrten Google Pay Gerät die GooglePay-Kartennummer kopieren und damit munter zahlen, bis der Inhaber sie sperrt.
Cave: Ja ich habe gesehen, dass wir unten auch noch den Hinweis hatten, dass Google laut seiner Hilfeseite auch nur Tokens an das Terminal sendet. In Anbetracht der Funktionsweise der vorliegenden Lücke kann allerdings jeder mit ein wenig Verständnis nur noch die Glaubwürdigkeit solcher Aussagen von Google in Frage stellen. Entweder solche Auskünfte gelten für alle Ausprägungen des Produktes, oder man schreibt da rein „aber für Paypal haben wir das ein bisschen anders gemacht“.
Puh, wird gleich immer sehr lang, wenn man präzise sein will — was zugegebenermaßen bei der Thematik notwendig ist.
Was auffällt ist dass bisher von keinem internationalen Fall etwas zu lesen ist – zumindest konnte ich bisher nichts über internationale Fälle finden. In sofern müsste das Problem ja schon eher lokal sein und es dürfte sich nicht um ein generelles Problem der beiden Systeme handeln.
Wenn die mit Brute Force durch ausprobieren ermittelt wurden, dürfte für Deutschland die höchste Trefferquote zu erwarten sein. Im Steinzeitland Deutschland gibt es nur eine sehr geringe Unterstützung für Google Pay seitens der Banken. Somit ist es als Krimineller wohl am verlockendsten, die ersten Ziffern für Deutschland zu nehmen und dann nur noch die hinteren Zahlen durchzuprobieren.
Paypal über GPay geht nur mit deutschen und US-Konten.
Okay, muss mich teils selbst korrigieren. Offenbar gab es auch entsprechende Fälle in Russland, wobei der größte Teil wohl in Deutschland war.
Nicht behoben:
https://twitter.com/iblueconnection/status/1232305781208473600?s=19
Konto gelöscht, ein Problem weniger. Ist ganz einfach das Konto abzumelden.
Ich denke Paypal sah sich mittlerweile genötigt zu antworten/ein Statement abzugeben, denn sollten die Kunden nämlich wirklich anfangen reihenweise ihre erteilten Einzugsermöchtigungen zu widerrufen, wird das dort für einige Unruhe sorgen.
Das erinnert mich an 1&1 und deren Probleme damals. Die konnten erst auch angeblich nicht behoben werden, kaum schlug es grössere Wellen, konnte der Fehler dann doch behoben werden, um negative Publicity zu vermeiden.
Achtung: bei Golem steht, die Firma welche die Lücke fand, kann diese weiterhin nutzen, die sagen die haben eine Zahlung zum Testen getätigt, anscheined hat PayPal gelogen, schon heftig bei so einer Sache!
Genau!
1.Lüge: Problem behoben.
2. Lüge: Es gab keinen Zugriff auf Daten durch Dritte.
Dem Laden glaube ich kein Wort mehr.
Wo steht denn, dass genau diese Lücke dazu ausgenutzt wurde?
Was mich wundert, es wurde ja oft auf ein Target Konto überwiesen. D.h. Das Geld ist ja dann nicht weg, sondern erst mal auf einem Target Konto. Hätte ein Angreifer die Möglichkeit auf ein Target Geschäftskonto zuzugreifen, bräuchte er doch die Paypal Zahlungen nicht und könnte sich direkt bedienen.
Daher fehlt mir die Info, wie hier Geld gestohlenen werden sollte.
Und das ist ja keine kleine Garagenfirma. Unfassbar…
Die Lücke ist Paypal über ein Jahr bereits bekannt? Paypal tut nichts und dann sei die Lücke innerhalb eines Tages gefixt, nachdem eine „Attacke“ gelaufen ist? Ich glaube Paypal kein Wort.