Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

PayPal-Sicherheitslücke: Fehlabbuchungen im vierstelligen Bereich über Google Pay

PayPal-Sicherheitslücke: Fehlabbuchungen im vierstelligen Bereich über Google Pay

Online-Zahldienst PayPal hat anscheinend mit einer Sicherheitslücke zu kämpfen. Nutzer von Google Pay mit verknüpftem PayPal-Konto berichten über fehlerhafte Abbuchungen, teilweise im vierstelligen Bereich. Die Abbuchungen erfolgen aus den USA und laufen unter dem Deckmantel bekannter Supermärkte. 

Seit gestern wird vermehrt über eine bereits im vergangenen Jahr aufgetauchte Sicherheitslücke bei PayPal berichtet. Erneut sind es Nutzer des Online-Bezahldienstes Google Pay, die Fehlabbuchungen in ihrer Konto-Aktivität entdeckt haben. In den entsprechenden Nutzer-Foren von PayPal und Google Pay häufen sich demnach die Beschwerden Deutscher Nutzer. Dabei sind auch jene Google-Pay-Nutzer betroffen, die nach eigenen Aussagen eine Zwei-Faktor-Authentifizierung nutzen. 

Wer auf seiner PayPal-Abrechnung Abbuchung des amerikanischen Discounters “Target” findet, sollte unverzüglich handeln. Die Empfänger-Namen variieren stark. So ist meistens das Wort “Target” im Empfänger-Name enthalten, gefolgt von einer Zahlen-Buchstaben-Kombination (z.B.: Target T-2398). Aber auch ominöse Abbuchungen unter dem Namen “Starbucks” wurden von Google-Pay-Nutzern entdeckt. Deutlich auffälliger sind durcheinander gewürfelte Buchstaben, die keinen Sinn ergeben, wie “jdjkskffjdouhsze”. 

Nutzer von Google Pay in Kombination mit PayPal berichten über die Abbuchung von Cent-Beträgen, einigen wurden Beträge im vierstelligen Bereich abgebucht. Das einzig Gute: Die fehlerhaften PayPal-Zahlungen können storniert werden. Betroffene sollten so vorgehen: 

  • Besucht PayPal über den Web-Browser und loggt Euch in Euren Account ein
  • Sucht den Punkt “Aktivitäten”
  • Nun erscheint eine Auflistung der getätigten Zahlungen
  • Wählt die fehlerhafte Zahlung aus
  • Klickt auf “Problem melden”
  • Wählt den Grund “Fremder Kontozugriff” aus
  • PayPal überprüft die Zahlung und setzt sich mit Euch in Kontakt

Eine Klärung per Kunden-Hotline ist ebenfalls möglich. Unter der PayPal-Rufnummer 0800 7234500 erreicht Ihr einen Service-Mitarbeiter, der Euch weiterhilft. 

Anzeige erstatten und Passwörter ändern

Wer betroffen ist, sollte außerdem den Betrug der Polizei und seiner Bank mitteilen. Vorsorglich raten wir zudem jedem, der Google Pay mit seinem PayPal-Konto verknüpft hat, dieses vorerst aus dem Google-Account zu entfernen, bis weitere Details zur Sicherheitslücke bei PayPal vorliegen. Das Zahlungsunternehmen hält sich nämlich bisher bedeckt, obwohl Google-Pay-Kunden bereits im vergangenen Jahr über ominöse Abbuchungen bei PayPal angefragt hatten, wie dieser Twitter-Nutzer behauptet: 

 

Die verwendeten Passwörter für PayPal und das Google-Konto sollten in regelmäßigen Abständen geändert werden. Spätestens jetzt ist ein guter Zeitpunkt.

Via: heise

Neueste Artikel

Empfohlene Artikel

Top-Kommentare der Community

47 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Selbst wenn der Fehler bei Paypal liegt. Es fällt eben auch ein Teil mit auf Google zurück. Weil der Fehler NUR in der Verbindung Google pay/Paypal auftritt.
    Google steht also auf alle Fälle auch nicht so gut da.
    Trennen möchte man sich von Paypal aber auch nicht. Wurde von Google jetzt bestätigt.
    Und das heißt wiederum, dass Google pay Nutzer in Verbindung mit Paypal weiter zittern können. Bis die nächste lücke public wird.
    Denn Paypal ist ja für regelmäßige auftretende sicherheitslücken bekannt.
    Und ich kann mir schwer vorstellen, dass google überhaubt keine Ahnung hatte, dass Paypal NUR die KK Nummer prüft.
    Ich denke, es war Google bewusst. Man hat das ganze aber geduldet, um nicht noch mehr Marktanteil zu verlieren.
    Denn mehr Banken hat Apple im Boot.
    Eine Trennung von Paypal würde Google einen besseren Ruf bescheren.
    Wäre für Google aber eine mittlere Katastrophe wegen des Marktanteils


  • Das Problem ist offenbar, dass jedermann mit nem nfc-reader die virtuelle Paypal-Kreditkarten-Nummer auslesen kann, wenn er in der Nähe eures Smartphones mit aktivierten Display kommt und die Paypal Kreditkarte als Standard eingestellt ist.

    Das wäre normalerweise kein großes Problem. Die Paypal-Kreditkarten sind aber auch für den OnlineHandel freigegeben nicht nur (wie sonst üblich) nur für Zahlungsvorgänge. Außerdem werden offenbar weder CVC noch der Name geprüft.

    Das bedeutet, wer die Nummer der virtuellen Paypal-Kreditkarte easy ausliest, der kann damit einkaufen gehen oder sein Amazon Guthaben aufladen. ☺️

    Paypal scheint ein unfassbarer Saftladen zu sein. 🙄


    • Interessant zu wissen, wenn du recht hast liegt de rFehler also tatsächlich auf der Seite von PayPal.
      Ich habe zwar mein Paypal-Konto mit Google Pay verknüpft, nutze zum mobilen Kontaktlosen bezahlen aber die App Digitale Karten der Volksbanken und habe diese daher auch als Standart-App zum Bezahlen per NFC eingerichtet.
      Der bisherige Grund: als Volksbank-Kunde war das schon länger möglich, noch bevor PayPal mit Google Pay verknüpft werden konnte und ich habe es dann so gelassen weil hier halt Google nicht involviert istsondern nur die Händler, meine Bank und ich. Wie sich jetzt raustellt: eine gute Entscheidung.


      • Es gibt aber offenbar auch den starken Verdacht, dass die Paypal-Kreditkarten Nummer erraten werden können. Die ersten 8 Ziffern sind nämlich immer gleich und die letzte Ziffer ist eine Prufziffer, die errechnet werden kann. Daher gibt es auch Betrug bei Leuten, die Paypal nicht als Standard eingerichtet und nfc ausgeschaltet hatten. Name und CVC sind ja egal.

        Ich habe meine Paypal Karte sicherheitshalber ganz aus GPay gelöscht und bei Paypal auch die Verknüpfung storniert.

        Eigentlich wollte ich Paypal behalten und abwarten, weil ich idR nicht so ängstlich bin. Aber bei diesem Paypal Super-GAU geht das schlecht. Ich nutze nun erstmal wieder DiPocket über GPay.


  • Ich war noch nie ein Fan von Paypal.
    Trotzdem krass, dass solche Sachen anscheinend immer wieder mit Paypal passieren, nachdem sie andere Sicherheitslücken nach mehreren Jahren Betrugsfällen im 6-7 stelligen Bereich erfolgreich ignoriert hatten.

    Schade, dass es in Verbindung mit Google Pay passiert. Wirft leider auch kein gutes Bild auf den sonst echt guten Bezahldienst.


  • Hat hoffentlich niemand ernsthaft erwartet dass die neue schöne Bezahlwelt völlig störungsfrei funktioniert. Ich fange so einen Quatsch erst gar nicht an.
    Bei Geld hört der Spaß auf.


    • Tim vor 4 Monaten Link zum Kommentar

      Also benutzt du gar kein Geld? Bargeld kann dir schließlich auch geklaut werden und da kannst du oft gar nichts mehr machen - anders als hier, wo man das Geld zurückfordern kann


      • @Tim
        Missverstanden, ich habe Debitcard, Kreditkarte und PayPal. Damit kann ich alles machen, aber es kommt nichts Neues dazu.


  •   77
    Gelöschter Account vor 4 Monaten Link zum Kommentar

    Ist doch nichts neues.... Nur Bares ist wahres.


    • Schwachsinnige Floskel. Geldbeutel verloren - Geld weg.


      •   77
        Gelöschter Account vor 4 Monaten Link zum Kommentar

        Muss man besser aufpassen...


      •   75
        Gelöschter Account vor 4 Monaten Link zum Kommentar

        Nur hast du dein ganzes Bankkonto nicht alles in deinem Geldbeutel oder? Lieber verliere ich durch meine Unachtsamkeit ein paar Euro als durch Manipulation anderer mehrere tausend Euro.


      • Die kann ich mir durch die Bank rückbuchen lassen. Das verlorene Bargeld nicht. Und deswegen ist die Floskel nur Bares besitzen zu wollen (weil dies nur Wahres sei) immer noch Unsinn.

        Tim


      •   77
        Gelöschter Account vor 4 Monaten Link zum Kommentar

        Mag sein einerseits aber dein Geld ist auf der Bank auch nicht sicher und was du zu Hause hast ist erstmal deine.


      • Dein Geld ist bei der Bank gegen Diebstahl und Feuer versichert. Und selbst bei einer Bankenpleite und Finanzkrise wird der Staat einspringen, weil das im Endeffekt die billigste (!) Lösung für alle ist. Deshalb hat man das so gemacht und wird es auch in Zukunft wieder tun.


      • Nicht alles, was in Hochglanzbrochuren versprochen wird, ist alltagstauglich. Mit meinem 'Brilliant-Konto' bei der Sparkasse sollte ich im Verlustfall eine neue Visakarte innerhalb 24 h zu meinem Aufenthaltsort geschickt kriegen. Aber eines schönen Tages, als ich gerade in London war und ohne daß ich es gleich wußte, hat jemand beim Visa-Betreiber Kartendaten veruntreut. Alle Karten wurden ersteinmal gesperrt. Gebuchtes Hotel wollte Karte verifizieren-Nix. Kein Rückflug ohne Kreditkarte möglich. Nach 2 Nächten im Park und mehreren Telefonkarten, mit denen ich mir defacto nur Warteschleifenmusik erkauft hatte und dann nach weiteren 35£ Telefonkleingeld, hatte die Sparkasse eingewilligt, die Karte kurz für die Flugbuchung freizugeben. (Hatte auch meine Maestro dabei und konnte Bares abheben aber damit ließen sich weder ein Hotel noch Flug buchen)
        In Berlin mußte ich eine Woche auf die neue Karte warten. Flug zurück nach London war extrem teuer. Insgesamt 2300€ Schaden. Wurde nicht erstattet.

        Oder Kurz: Die Bank zeigt dir auch gern mal den Stinkefinger! Vertragskonditionen sind im Ernstfall nichts wert.


    • Reaktionäres Dummlaber wie immer...

      Falsch abgebuchtes Geld bekommst du problemlos wieder. Einen Taschendieb musst du erstmal finden.


      • Selber Dummlaber! Banken geben nicht gern zu, daß was schief gelaufen ist. Erst recht nicht, wenn ein Mitarbeiter oder Servicepartner mit krimineller Absicht dahinter steckt. Habe beides schon erlebt, da erheben die sogar noch Beschwerdegebühr. Geld gab es bei mir nicht zurück.

        Nik M.Gelöschter Account


      • Dann lager dein Geld besser zuhause unter der Matratze. Es darf halt nur nicht brennen. :D

        Und Abbuchungen kann man immer rückgängig machen.
        Völlig egal ob berechtigte, unberechtigte, fehlerhafte, durch Unterschrift ausgelöste, online beauftrage oder Kreditkarten-Abbuchungen. Das ist Gesetz.

        Wenn du dagegen selber Geld überweist oder bar bezahlst, dann kommst du *nur* mit Zustimmung des (ggf. falschen) Empfängers wieder dran.

        Gelöschter Account


      • "..Und Abbuchungen kann man immer rückgängig machen. .."

        Ja, völlig richtig. Es sei denn die Bank ist nicht deiner Meinung. 🤔


      • Schreib doch nicht so einen Unsinn. Die Bank hat da nix zu melden.
        Lastschrift-Abbuchungen kann man immer rückgängig machen. Das ergibt sich u. a. aus BGB § 675x. Du solltest nur nicht 6 Monate später kommen.

        Die Gründe kann eine Bank gar nicht prüfen, weil die Bank das Lastschriftmandat und den Vertrag nicht hat.

        Glaub mir ich, buche seit Jahren monatlich Mieten, Nebenkosten und Hausgelder von tausenden Mietern ab und Mieter oder Wohnungseigentümer veranlassen regelmäßig Rücklastschriften, wenn Ihnen was nicht passt. ☺️


      • Ich kann kann kann aber nicht ändern, wenn die Bank sagt, sie hätten das geprüft und sich weigert, überhaupt weiter darüber zu diskutieren.


      • Dann hast du wahrscheinlich selbst das Geld überwiesen oder die 8 Wochen sind vorbei.

        Ne Kontopfändung kann man natürlich auch nicht zurück holen. ☺️ - Keine Schande, ich habe mal nen Parkknöllchen nicht bezahlt und war dann in Urlaub. Dann holt sich die Stadt das Geld irgendwann selber. Der Service kostet natürlich extra. 😄

        Tim


      • Oder wenn ein Betrüger das Konto aufgelöst hat, bevor man die unberechtigte Abbuchung feststellt, bzw. bevor man die Rückbuchung veranlassen konnte.


      • Nein, eine Rücklastschrift ist auch möglich, wenn ein Betrüger sein Konto aufgelöst hat. Sonst wären 13 Monate Frist bei unberechtigten Abbuchung ja auch sinnlos.

        Der Erstattungsanspruch aus BGB § 675x richtet sich gegen den Zahlungsdienstleister (!), also die eigene Bank.


      • Ich meinte zwar, von Fällen gelesen zu haben, wo das Geld dann weg war, denke aber jetzt, dass Du diesbezüglich Recht hast.


      • "..oder die 8 Wochen sind vorbei. .."

        Das kann man wohl sagen. Über ein halbes Jahr bevor ich in's Ausland gezogen bin, habe ich Netbanking bei meiner Sparkasse beantragt. Das war aber laaaange nicht rechtzeitig genug. Hatte über mehrere Monate keinen freien Tag
        bekommen und war somit ohne Möglichkeit nach Berlin zu reisen. Die Kontoauszüge wurden mir mit Verzögerung nach jeweils 3 Monaten, effektiv 4 Monate nach der ersten Position, zugesendet. Die ganzen Abbuchungen durchzugehen und zu sortieren, war nicht einfach bis teilweise unmöglich, da oft nicht im Klartext stand, daß es sich z.B. um 'Hemden Peter' handelt. Stattdessen war Karl Sowieso KG gelistet. Klar herausgefunden, daß sich wer bedient hat, habe ich durch einen Kurztrip nach London, wo ich ohne Zweifel wußte, Maestro nur 3 mal benutzt zu haben. Da waren weitere 4 Abbuchungen zu insgesamt 86£. Insgesamt wurden mindestens 5000€ geklaut, wahrscheinlich bis 8000€.😐


  • Fehlabbuchungen mit oder ohne krimineller Absicht, durch an das System angeschlossene Anbieter, sind auch möglich, ohne die Einlogg-Prozedur eines Endkunden. Es wird einfach etwas in Rechnung gestellt. Die Abbuchung erledigt das System automatisch. Da helfen dir deine noch so komplizierten Passwörter garnicht.


    • Deswegen immer die Kontobewegungen im Auge behalten und solche falschen Buchungen zurückbuchen oder bei der Bank "zurückholen". Sollte man auch ohne die Nutzung von Apple/Google Pay oder PayPal machen.

      Tim


      • zum Glück wird man ja direkt per App und Email über Zahlungen informiert. und wenn man in dem Moment nichts gekauft hat, sollte man stutzig werden.


      • Kontobewegungen im Auge behalten ist offenbar auch immer nötig. Aber wenn was falsch gebucht ist, ist das nicht notwendiger Weise ersichtlich, wenn es auch genauso dokumentiert wurde.
        Wenn man eh viele Positionen hat, fällt einem das auch nicht gleich auf.


      • Dann ist man selber schuld.
        Banking Apps wie jene von N26 oder anderen Fintechs dokumentieren jede Zahlung quasi in Echtzeit.
        Wer seine Finanzen trotzdem nicht im Blick hat und Konto Bewegungen ignoriert hat entweder zu viel Geld oder Pech gehabt.


      • Meine Bank ist auch nur wenige Minuten hinter den Kartenzahlungen. Es gibt aber auch Geschäfte, die scheinen zu puffern. Auf Seven Eleven zB. wartet man bis zu einer Woche.


      • Ich habe auf Seven Eleven noch nie länger als 10 Sekunden gewartet.
        Egal ob in Japan oder in Amerika. Hängt dann wahrscheinlich doch mit Deiner Karte zusammen...


      • Genau. Nur wer bar zahlt, kann die Anzahl solcher Abbuchungen und damit den zur Kontrolle erforderlichen Aufwand erheblich reduzieren. Wird der Geldbeutel gestohlen, geht auch nur der darin enthaltene, in der Regel nicht sehr hohe Betrag verloren. Ein Diebstahl setzt aber auch ein grob fahrlässiges offenes Mitführen voraus (oder einen verdammt geschickten Dieb), mir ist noch nie Geld gestohlen worden.
        Entsteht finanzieller Schaden durch grob fahrlässigen Umgang mit z.B. Kreditkartendaten, dann weigern sich auch die Banken, Schadensersatz zu leisten. Nicht selten wird solche grobe Fahrlässigkeit auch unterstellt. Die Rückbuchbarkeit von Abbuchungen ist mit Barzahlung gar nicht vergleichbar, das wäre wie dem Verkäufer den Geldbeutel zu geben, damit er den Betrag selber entnimmt. Barzahlung ist stets ein eigeninitiativer Vorgang wie überweisen, und macht man dabei einen Fehler, ersetzt die Bank auch nichts.


      • Nein, es liegt nicht an meiner Karte. Außerdem ist 7/11 eine Franchise-Marke und somit stehen immer andere Betreiber dahinter. Hier, im Land der Dänen, ist es die Bahn.


      • Wenn mir die App eine Abbuchung mitteilt, die von einem Kauf herrührt, der Tage zuvor erfolgt ist, und das passiert bei Onlinekäufen permanent, dann bringt es nichts, stutzig zu werden, denn solche Abbuchungen sind in der Regel berechtigt. Um sich gegen die unberechtigten Ausnahmen abzusichern hilft es nur, jede Abbuchung auf ihre Berechtigung einzeln zu prüfen. Bei selbst initiieren Zahlvorgängen mögen manche Lösungen (aber längst nicht alle) Echtzeitmeldungen generieren, aber auch die erscheinen auf den Kontoauszügen und müssen bei der Kontrolle als berechtigt separiert werden.


  • Passwörter regelmäßig zu ändern wird gar nicht mehr empfohlen. Das BSI hat jetzt als eines der letzten Sicherheitsbehörden davon abgeraten, weil Nutzer sonst dazu neigen wiederholende oder zu einfache Passwörter zu nutzen. Andere Länder waren schon viele Jahre vorher auf dem Trip. Es wird empfohlen einen Passwort-Safe zu nutzen und diesen mit einem ausreichend starken Passwort zu sichern. Dort können ja dann schwierige Passwörter abgelegt werden.


  • Hmm, also ich war schon immer skeptisch was mobiles bezahlen über einen Dritten angeht. Ich hab das direkt bei meiner Volksbank, da kann höchstens ne Sicherheitslücke bei der Fiducia auftauchen und die wird dann garantiert nicht ein Jahr lang liegen gelassen, so st wären die Kunden ganz schnall weg denn im Vergleich zu Google, PayPal oder Apple haben die Volksbanken deutlich mehr Konkurrenz.
    Aber sagt Mal, in anderen Artikel dazu ist immer von eine Lücke in Google Pay die Rede Und nicht in PayPal. Was stimmt denn nun? Wo befindet sich die Lücke?


  • Wie kann denn das mit aktivierter 2FA überhaubt passieren? Wie kann man auf das Konto zugreifen, ohne den Account zu entsperren?
    Paypal ist ja nur die ausführende zahlungsinstitution, welche eine Zahlungsaufforderung erhalten hat.
    Das die falsche Zahlungsaufforderung überhaubt zu Paypal durchkam.... da hat sich Google gerade ein ganz schlechtes Zeugnis ausgestellt.


    • Verstehe ich auch nicht. Zumal wenn es nur mit Google Pay funktioniert, liegt dann das Problem nicht bei Google Pay? Ich hab das Gefühl, das eigentliche Problem wird im Artikel nicht erklärt oder steh ich aufm Schlauch?


      • Tim vor 4 Monaten Link zum Kommentar

        Sind wohl wirklich beide. Irgendwas hat Google verbockt, dass es (anscheinend) nur mit Google Pay möglich ist, gleichzeitig wird aber offenbar eine Sicherheitslücke in PayPal ausgenutzt, die mal eben so seit einem Jahr existiert... ziemlich peinlich für beide.


      • Ich hab mal den original Artikel gelesen. Da steht nicht, dass es an einer Paypal-Sicherheitslücke liegt, sondern nur, dass Google auf Paypal verweist und das es zu den Hintergründen keine Informationen gibt.


      • So einfach kann ja Google auch nicht von sich abweisen. Die Sicherheit ist ja wohl Angelegenheit von beiden Seiten. Dennoch ist es klar, dass beide so wenig wie möglich im schlechten Licht stehen wollen.


      • Naja guckt man sich an was iblue auf Twitter schreibt, liegt das Problem schon bei Paypal, nicht Google.


      • Ist doch vollkommen egal wer die 💩baut. Es ist alles mal wieder halbfertig , aber jeder will der beste und tollste sein.


      • Es liegt arm den virtuellen Kreditkarten von Paypal. Da wird weder Name noch CVC geprüft. Zudem sind die für den onlineHandel freigegeben. Das Problem liegt eindeutig bei Paypal. Riesen Fail!

        Tim

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!