News PayPal via Google Pay: Beschwerden über unberechtigte Abbuchungen

[mischaef]

Artikel-Update: Markus Fenske, CEO beim Sicherheitsunternehmen exablue, dessen freier Mitarbeiter Andreas Mayer die Lücke vor einem Jahr entdeckt hatte, beschreibt den so genannten Angriffsvektor auf Twitter wie folgt: Um NFC-Zahlungen zu ermöglichen, generiert die PayPal-App eine virtuelle Kreditkarte. Anders als bei anderen Anbietern kann über diese Karte aber nicht nur eine Zahlung im Einzelhandel autorisiert werden, sondern auch eine Zahlung im Online-Handel. Und in diesem Fall verlangt PayPal lediglich nach Angabe der Kartennummer sowie des Ablaufdatums.

Diese Informationen ließen über ein NFC-Lesegerät aus einem Smartphone auslesen und dann verwenden. Allerdings geht Fenske nicht davon aus, dass das der Fall gewesen ist. Vielmehr geht er davon aus, dass Angreifer die Daten der von PayPal ausgestellten virutellen Kreditkarten per Brute Force „erraten“ haben. Das sei weniger aufwendig als auf den ersten Blick gedacht, denn die ersten sieben Stellen der Nummer seien zumindest bei den überprüften deutschen Accounts immer gleich. Damit müsste nur noch eine siebenstellige folgende Zahlenkette durchprobiert werden, denn die letzte Zahl ist lediglich ein Produkt aus den 15 vorangegangenen. Das Ablaufdatum sei noch einfacher zu erraten, denn jede Karte ist ein Jahr gültig, mit einem Start im Oktober 2018 gibt es bisher also nur 17 Varianten.

Fenske bestätigt, dass PayPal im letzten Jahr 4.400 US-Dollar für die Meldung des Fehlers gezahlt, auf Nachfragen, ob er behoben sei, aber nicht mehr reagiert hätte. Und auch heute sei es den Sicherheitsforschern noch möglich gewesen, mit einer erratenen Kartennummer nebst passendem Ablaufdatum unter Angabe eines wahllosen Namens und CVC-Nummer eine Online-Zahlung zu autorisieren.

Mit diesen Informationen dürfte klar sein, dass in der Tat Kriminelle und kein Systemfehler hinter den Abbuchungen stecken. Potentiell betroffen ist jeder PayPal-Nutzer, der kontaktloses Zahlen eingerichtet hat.

 

[Mihawk90]

Paypal prüft bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarte. Exablue hatte demnach eine Zahlung mit dem Namen John Doe und einer CVC von 000 bei einem Testaccount durchgeführt.

Wie schon weiter vorne gesagt ist die CVC mit PSD II sowieso nicht mehr zur Autorisierung zulässig und wird bei den virtuellen Karten meines Wissens gar nicht vergeben. Sinn und Zweck der CVC war ja den Besitz der physischen Karte nachzuweisen, was bei einer virtuellen Karte wenig Sinn macht.
Das kann man PayPal also schlecht vorwerfen

Wenn das am Ende wirklich durch Brute Force der Kartennummern dazu kam, ist das aber schon ziemlich trauriges Bild für Paypal

Jaaaiiin.. sag ich mal so. Jeder Partner der Kreditkartenunternehmen kriegt einen oder mehrere Nummernkreise (ersten 8 Stellen der Kartennummer) zugeordnet. Alle Karten, welche für das Unternehmen ausgestellt werden sind damit in denselben Nummernkreisen. Wirklich verhindern kann man das "Erraten" der Kartennummer daher nicht. Aber offenbar fehlt es irgendwo anders an Sicherheitsmechanismen.

 

[Younghippie]

Lol? Warum? Ich will das es dazu kommt. Wie kommst du drauf, dass du hier für alle sprichst?

Wie kommst du nur auf die abstruse Idee dass ich für alle spreche? Ich spreche nur für die Leute die, nicht wollen das es dazu kommt. Also bist du z. B. nicht angesprochen.

 

[Haremhab]

Vor allem bei einer derart weltfremden Annahme, man hacke "mal eben" alle Systeme im Internet so nach dem Motto es gibt ja nur 1-2 und davon abgesehen, dass viele Safe heute ohnehin elektronisch arbeiten und "smart" sind...

Dir ist aber schon klar, dass Milliarden Menschen, auch mit weniger guten Absichten, Zugang zum Internet haben, damit mit genug Know How auch zu allen deinen digitalen Konten. Ich habe aber noch nie von millionenfachen Wohnungseinbrüchen in Deutschland gehört, wo gleichzeitig zB. auch Safes in großer Serie geknackt wurden...aber über kriminelle Machenschaften im Internet sehr oft. Was ist also deutlich weniger anfällig für Hacks: die seit Jahrzehnten und zum großen Maße etablierten "analoge" Systeme oder die digitalen?

 

[shoKuu]

@Mihawk90
Habe selber keine Kreditkarte und mich entsprechend nicht ins Thema eingelesen, aber danke für die Erklärung.

 

[cookie_dent]

Lol? Warum? Ich will das es dazu kommt.

Mit dieser Einstellung bist Du der feuchte Traum einer Regierung/Finanzamt/Zentralbank.
Jeder Cent der bewegt wird, wird dann nachvollziehbar sein und es folgt daraus die totale Kontrolle sämtlicher Finanzflüsse.

Nehmen wir an, du bist ein gewiefter Einbrecher und Tresorknacker und raubst in einer Nacht mehrere Häuser aus und knackst deren Tresore und klaust große Mengen Schmuck und Bargeld und versuchst dann, das Telefon in der Wohnung zu hacken, der nur digitale Systeme nutzt. Viel Spaß dabei.

Ich bin mir sicher, dass deutlich mehr Geld über digigitale Wege gestohlen wird, als über Einbrüche in den privaten Bereich.
Ist doch auch viel einfacher.

 

[Mihawk90]

@Mihawk90
Habe selber keine Kreditkarte und mich entsprechend nicht ins Thema eingelesen, aber danke für die Erklärung.

Alles gut, war auch keine Kritik an deinem Beitrag, eher an dem was Golem geschrieben hatte bzw. was das Sicherheitsunternehmen dort schreibt (ist ja quasi das gleiche) - s. Artikelupdate

 

[Wilhelm14]

Fenske bestätigt, dass PayPal im letzten Jahr 4.400 US-Dollar für die Meldung des Fehlers gezahlt

Auch wenn es noch nicht abschließend geklärt ist, sind 4.400 USD für so einen Fehler nicht etwas mager? Ich hätte jetzt eher an 44.000 oder gar noch mehr gedacht.

 

[unlock]

Nur, dass PayPal eben keine Bank, sondern ein Zahlungsdienstleister ist.

Luxemburg hat Paypal schon vor über 10 Jahren mit einer Banklizenz ausgestattet und somit ist der Zahlungsdienstleister in der EU formal eine Bank.

 

[Mihawk90]

Ist richtig, aber als Bank in dem Sinne sind sie ja auch nicht tätig, das war eher das was ich meinte

edit: @unlock Eine Sache sei dazu noch gesagt, Banklizenz ist nicht gleich Banklizenz. Es gibt Voll- und Teilbanklizenzen, und je nach Ausgestaltung dürfen nur bestimmte Teilbereiche des Bankenwesens abgebildet werden. Nur Banken mit Vollbanklizenz dürfen z.B. auch Einlagen für Kunden haben. Ich weiß nicht welche Art PayPal hat, aber ich denke es hat seinen Grund, dass die Konten bei PayPal bei der Deutschen Bank liegen

 

[Baxxter]

1000€ bei Starbucks?!?! Latte mit allem?

Latte mit allem und Happy End

@Topic: Kann zwar kein GPay nutzen, aber da werde ich mir wohl überlegen ob ich Zukunft überhaupt solch eine Zahlungsart nutzen werde. Hatte mich eigentlich schon sehr auf ApplePay gefreut. Bietet meine Bank und Kreditkartenbank im Moment aber leider nicht an.

 

[Wechhe]

Es ist schon erstaunlich, dass die ganzen apocalyptischen Zustände, die mit jeder neuen Technik vorhergesagt wurden, nicht eingetreten sind. Hier mal eine Sicherheitslücke, da mal ein paar erratene Daten. Im Grunde ist die Transaktionstechnik aber nicht das Hauptproblem, sondern die Art, wie wir mit den Daten umgehen.

Grund Nummer 1 für solchen Betrug ist Phishing und Datenklau (gehackte Datenbank) und in diesem Fall sogar "erratene" Daten. Und da ist dann letztlich egal mit welcher Technik die Transaktion stattfindet - das ist IMHO immer noch der sicherste Part.

Wer auf Nummer Sicher gehen will, muss sein Geld unter dem Kopfkissen aufbewahren. Wobei das statistisch noch unsicherer ist....

Vermutung:
Über die Jahre ist die tatsächliche Sicherheit des eigenen Vermögens deutlich!! höher geworden.
Beim Einbruch oder beim Diebstahl werden heute keine größeren Bargeld Mengen mehr erbeutet.
Die gefühlte Sicherheit dagegen ist etwas anderes, da man immer wieder von Datenklau & co. im großen Stile liest und man nicht den berühmten Griff zur eigenen Tasche machen kann ("Ist alles noch da?"), da die eigenen Daten irgendwo virtuell liegen.

Jedoch: Wenn dir die Brieftasche mit 500 Euro geklaut wird --> Pech.
Betrug über Kreditkarte & co ist versichert. Das eigene Smartphone meistens auch. Der finanzielle Schaden ist also begrenzt. Und damit die Sicherheit höher als früher.

 

[NOTAUS]

https://www.heise.de/security/meldu...rlaubt-unberechtigte-Abbuchungen-4667527.html

 

[Weedlord]

Allein die Spamwellen mit gehackten Paypal Accounts "alljährlich".

Sind die Leute dann aber auch selber Schuld. Gibt nicht umsonst heutzutage 3 Faktor Authentifizierung.

 

[unlock]

Ist richtig, aber als Bank in dem Sinne sind sie ja auch nicht tätig, das war eher das was ich meinte

Klar, ich versteh was du meinst. Bei Banken denken wir an Universalbanken mit dem kompletten Produktangebot und das ist Paypal definitiv nicht. Aber das wollte ich mit dem Wort formal zum Ausdruck bringen.

 

[mischaef]

Artikel-Update: Gegenüber Heise hat PayPal verlauten lassen, dass das Problem inzwischen behoben sei, ohne genauer ins Detail zu gehen. „Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen“, heißt es weiter. Google Pay war bisher der einzige Dienstleister zum kontaktlosen Bezahlen, der mit PayPal verknüpft werden konnte. Betroffenen Kunden soll das unrechtmäßig abgebuchte Geld zurückerstattet werden. Ob das automatisch oder auf Antrag geschieht, verrät das Statement nicht.

 

[Alpha.Male]

Kann nicht sein, der kostet 1099€

Na, vielleicht ohne Sahne halt.

@ Topic: War klar, das es irgendwo Leute da draussen gibt, die nach Lücken in diesen Bereichen suchen.
Und Paypal....nunja..da hatte ich als Verkäufer auch schon so mal meine Erfahrungen. (durch einen Paypal Betrüger). Von denen da nur in irgendeiner Weise etwas zu erwarten ? Vergesst es. Mehr schreibe ich zu dem Verein lieber nicht, wäre wohl justiziabel.

 

[ApeHunter]

der einzige Dienstleister zum kontaktlosen Bezahlen

 

[Schredderr]

Ich glaub ich frage bei Amazon mal nach, wann die endlich bei der LBB die Tür eintreten, damit die Gpay unterstützen
Dieser Paypal Umweg ist doch maximal eine Notlösung.

Gib auf jeden Fall Bescheid falls du was erfahren solltest. Bei mir läuft es auch über Google Pay -> PayPal -> Amazon KK.

Naja, ich bin verschont geblieben. Hatte aber auch noch nie Probleme mit PayPal oder dergleichen.

 

[h00bi]

Wie schon weiter vorne gesagt ist die CVC mit PSD II sowieso nicht mehr zur Autorisierung zulässig und wird bei den virtuellen Karten meines Wissens gar nicht vergeben. Sinn und Zweck der CVC war ja den Besitz der physischen Karte nachzuweisen, was bei einer virtuellen Karte wenig Sinn macht.
Das kann man PayPal also schlecht vorwerfen

Es ist aber sicher nicht im Sinne der PSD2 wenn man die CVC dann einfach durch "nichts" ersetzt.