Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

PayPal-Sicherheitslücke: Fehlabbuchungen im vierstelligen Bereich über Google Pay

PayPal-Sicherheitslücke: Fehlabbuchungen im vierstelligen Bereich über Google Pay

Online-Zahldienst PayPal hat anscheinend mit einer Sicherheitslücke zu kämpfen. Nutzer von Google Pay mit verknüpftem PayPal-Konto berichten über fehlerhafte Abbuchungen, teilweise im vierstelligen Bereich. Die Abbuchungen erfolgen aus den USA und laufen unter dem Deckmantel bekannter Supermärkte. 

Seit gestern wird vermehrt über eine bereits im vergangenen Jahr aufgetauchte Sicherheitslücke bei PayPal berichtet. Erneut sind es Nutzer des Online-Bezahldienstes Google Pay, die Fehlabbuchungen in ihrer Konto-Aktivität entdeckt haben. In den entsprechenden Nutzer-Foren von PayPal und Google Pay häufen sich demnach die Beschwerden Deutscher Nutzer. Dabei sind auch jene Google-Pay-Nutzer betroffen, die nach eigenen Aussagen eine Zwei-Faktor-Authentifizierung nutzen. 

Wer auf seiner PayPal-Abrechnung Abbuchung des amerikanischen Discounters “Target” findet, sollte unverzüglich handeln. Die Empfänger-Namen variieren stark. So ist meistens das Wort “Target” im Empfänger-Name enthalten, gefolgt von einer Zahlen-Buchstaben-Kombination (z.B.: Target T-2398). Aber auch ominöse Abbuchungen unter dem Namen “Starbucks” wurden von Google-Pay-Nutzern entdeckt. Deutlich auffälliger sind durcheinander gewürfelte Buchstaben, die keinen Sinn ergeben, wie “jdjkskffjdouhsze”. 

Nutzer von Google Pay in Kombination mit PayPal berichten über die Abbuchung von Cent-Beträgen, einigen wurden Beträge im vierstelligen Bereich abgebucht. Das einzig Gute: Die fehlerhaften PayPal-Zahlungen können storniert werden. Betroffene sollten so vorgehen: 

  • Besucht PayPal über den Web-Browser und loggt Euch in Euren Account ein
  • Sucht den Punkt “Aktivitäten”
  • Nun erscheint eine Auflistung der getätigten Zahlungen
  • Wählt die fehlerhafte Zahlung aus
  • Klickt auf “Problem melden”
  • Wählt den Grund “Fremder Kontozugriff” aus
  • PayPal überprüft die Zahlung und setzt sich mit Euch in Kontakt

Eine Klärung per Kunden-Hotline ist ebenfalls möglich. Unter der PayPal-Rufnummer 0800 7234500 erreicht Ihr einen Service-Mitarbeiter, der Euch weiterhilft. 

Anzeige erstatten und Passwörter ändern

Wer betroffen ist, sollte außerdem den Betrug der Polizei und seiner Bank mitteilen. Vorsorglich raten wir zudem jedem, der Google Pay mit seinem PayPal-Konto verknüpft hat, dieses vorerst aus dem Google-Account zu entfernen, bis weitere Details zur Sicherheitslücke bei PayPal vorliegen. Das Zahlungsunternehmen hält sich nämlich bisher bedeckt, obwohl Google-Pay-Kunden bereits im vergangenen Jahr über ominöse Abbuchungen bei PayPal angefragt hatten, wie dieser Twitter-Nutzer behauptet: 

 

Die verwendeten Passwörter für PayPal und das Google-Konto sollten in regelmäßigen Abständen geändert werden. Spätestens jetzt ist ein guter Zeitpunkt.

Via: heise

Neueste Artikel

Empfohlene Artikel

Top-Kommentare der Community

47 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Selbst wenn der Fehler bei Paypal liegt. Es fällt eben auch ein Teil mit auf Google zurück. Weil der Fehler NUR in der Verbindung Google pay/Paypal auftritt.
    Google steht also auf alle Fälle auch nicht so gut da.
    Trennen möchte man sich von Paypal aber auch nicht. Wurde von Google jetzt bestätigt.
    Und das heißt wiederum, dass Google pay Nutzer in Verbindung mit Paypal weiter zittern können. Bis die nächste lücke public wird.
    Denn Paypal ist ja für regelmäßige auftretende sicherheitslücken bekannt.
    Und ich kann mir schwer vorstellen, dass google überhaubt keine Ahnung hatte, dass Paypal NUR die KK Nummer prüft.
    Ich denke, es war Google bewusst. Man hat das ganze aber geduldet, um nicht noch mehr Marktanteil zu verlieren.
    Denn mehr Banken hat Apple im Boot.
    Eine Trennung von Paypal würde Google einen besseren Ruf bescheren.
    Wäre für Google aber eine mittlere Katastrophe wegen des Marktanteils


  • Das Problem ist offenbar, dass jedermann mit nem nfc-reader die virtuelle Paypal-Kreditkarten-Nummer auslesen kann, wenn er in der Nähe eures Smartphones mit aktivierten Display kommt und die Paypal Kreditkarte als Standard eingestellt ist.

    Das wäre normalerweise kein großes Problem. Die Paypal-Kreditkarten sind aber auch für den OnlineHandel freigegeben nicht nur (wie sonst üblich) nur für Zahlungsvorgänge. Außerdem werden offenbar weder CVC noch der Name geprüft.

    Das bedeutet, wer die Nummer der virtuellen Paypal-Kreditkarte easy ausliest, der kann damit einkaufen gehen oder sein Amazon Guthaben aufladen. ☺️

    Paypal scheint ein unfassbarer Saftladen zu sein. 🙄


    • Interessant zu wissen, wenn du recht hast liegt de rFehler also tatsächlich auf der Seite von PayPal.
      Ich habe zwar mein Paypal-Konto mit Google Pay verknüpft, nutze zum mobilen Kontaktlosen bezahlen aber die App Digitale Karten der Volksbanken und habe diese daher auch als Standart-App zum Bezahlen per NFC eingerichtet.
      Der bisherige Grund: als Volksbank-Kunde war das schon länger möglich, noch bevor PayPal mit Google Pay verknüpft werden konnte und ich habe es dann so gelassen weil hier halt Google nicht involviert istsondern nur die Händler, meine Bank und ich. Wie sich jetzt raustellt: eine gute Entscheidung.


      • Es gibt aber offenbar auch den starken Verdacht, dass die Paypal-Kreditkarten Nummer erraten werden können. Die ersten 8 Ziffern sind nämlich immer gleich und die letzte Ziffer ist eine Prufziffer, die errechnet werden kann. Daher gibt es auch Betrug bei Leuten, die Paypal nicht als Standard eingerichtet und nfc ausgeschaltet hatten. Name und CVC sind ja egal.

        Ich habe meine Paypal Karte sicherheitshalber ganz aus GPay gelöscht und bei Paypal auch die Verknüpfung storniert.

        Eigentlich wollte ich Paypal behalten und abwarten, weil ich idR nicht so ängstlich bin. Aber bei diesem Paypal Super-GAU geht das schlecht. Ich nutze nun erstmal wieder DiPocket über GPay.


  • Ich war noch nie ein Fan von Paypal.
    Trotzdem krass, dass solche Sachen anscheinend immer wieder mit Paypal passieren, nachdem sie andere Sicherheitslücken nach mehreren Jahren Betrugsfällen im 6-7 stelligen Bereich erfolgreich ignoriert hatten.

    Schade, dass es in Verbindung mit Google Pay passiert. Wirft leider auch kein gutes Bild auf den sonst echt guten Bezahldienst.


  • Hat hoffentlich niemand ernsthaft erwartet dass die neue schöne Bezahlwelt völlig störungsfrei funktioniert. Ich fange so einen Quatsch erst gar nicht an.
    Bei Geld hört der Spaß auf.


    • Tim vor 3 Monaten Link zum Kommentar

      Also benutzt du gar kein Geld? Bargeld kann dir schließlich auch geklaut werden und da kannst du oft gar nichts mehr machen - anders als hier, wo man das Geld zurückfordern kann


      • @Tim
        Missverstanden, ich habe Debitcard, Kreditkarte und PayPal. Damit kann ich alles machen, aber es kommt nichts Neues dazu.


  • Ist doch nichts neues.... Nur Bares ist wahres.


    • Schwachsinnige Floskel. Geldbeutel verloren - Geld weg.


      • Muss man besser aufpassen...


      • Peter vor 3 Monaten Link zum Kommentar

        Nur hast du dein ganzes Bankkonto nicht alles in deinem Geldbeutel oder? Lieber verliere ich durch meine Unachtsamkeit ein paar Euro als durch Manipulation anderer mehrere tausend Euro.


      • Die kann ich mir durch die Bank rückbuchen lassen. Das verlorene Bargeld nicht. Und deswegen ist die Floskel nur Bares besitzen zu wollen (weil dies nur Wahres sei) immer noch Unsinn.

        Tim


      • Mag sein einerseits aber dein Geld ist auf der Bank auch nicht sicher und was du zu Hause hast ist erstmal deine.


      • Dein Geld ist bei der Bank gegen Diebstahl und Feuer versichert. Und selbst bei einer Bankenpleite und Finanzkrise wird der Staat einspringen, weil das im Endeffekt die billigste (!) Lösung für alle ist. Deshalb hat man das so gemacht und wird es auch in Zukunft wieder tun.


      • Nicht alles, was in Hochglanzbrochuren versprochen wird, ist alltagstauglich. Mit meinem 'Brilliant-Konto' bei der Sparkasse sollte ich im Verlustfall eine neue Visakarte innerhalb 24 h zu meinem Aufenthaltsort geschickt kriegen. Aber eines schönen Tages, als ich gerade in London war und ohne daß ich es gleich wußte, hat jemand beim Visa-Betreiber Kartendaten veruntreut. Alle Karten wurden ersteinmal gesperrt. Gebuchtes Hotel wollte Karte verifizieren-Nix. Kein Rückflug ohne Kreditkarte möglich. Nach 2 Nächten im Park und mehreren Telefonkarten, mit denen ich mir defacto nur Warteschleifenmusik erkauft hatte und dann nach weiteren 35£ Telefonkleingeld, hatte die Sparkasse eingewilligt, die Karte kurz für die Flugbuchung freizugeben. (Hatte auch meine Maestro dabei und konnte Bares abheben aber damit ließen sich weder ein Hotel noch Flug buchen)
        In Berlin mußte ich eine Woche auf die neue Karte warten. Flug zurück nach London war extrem teuer. Insgesamt 2300€ Schaden. Wurde nicht erstattet.

        Oder Kurz: Die Bank zeigt dir auch gern mal den Stinkefinger! Vertragskonditionen sind im Ernstfall nichts wert.


    • Reaktionäres Dummlaber wie immer...

      Falsch abgebuchtes Geld bekommst du problemlos wieder. Einen Taschendieb musst du erstmal finden.


      • Selber Dummlaber! Banken geben nicht gern zu, daß was schief gelaufen ist. Erst recht nicht, wenn ein Mitarbeiter oder Servicepartner mit krimineller Absicht dahinter steckt. Habe beides schon erlebt, da erheben die sogar noch Beschwerdegebühr. Geld gab es bei mir nicht zurück.


      • Dann lager dein Geld besser zuhause unter der Matratze. Es darf halt nur nicht brennen. :D

        Und Abbuchungen kann man immer rückgängig machen.
        Völlig egal ob berechtigte, unberechtigte, fehlerhafte, durch Unterschrift ausgelöste, online beauftrage oder Kreditkarten-Abbuchungen. Das ist Gesetz.

        Wenn du dagegen selber Geld überweist oder bar bezahlst, dann kommst du *nur* mit Zustimmung des (ggf. falschen) Empfängers wieder dran.


      • "..Und Abbuchungen kann man immer rückgängig machen. .."

        Ja, völlig richtig. Es sei denn die Bank ist nicht deiner Meinung. 🤔

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!