Vor ein paar Monaten wurden manche deutschen PayPal-Nutzer Opfer einer länger bekannten Sicherheitslücke. Jetzt häufen sich die Berichte erneut und auch ich kenne eine betroffene Person. Google trifft dabei wahrscheinlich wieder keine Schuld.
Mehrere Fälle im Februar
Das Problem lag damals an der Umsetzung der virtuellen Kreditkarten für Google Pay. Die virtuellen Kreditkarten, die zum kontaktlosen Zahlen via NFC genutzt werden sollen, waren auch für Online-Bezahlungen freigeschaltet. Die Kreditkarten-Nummer und das Ablaufdatum genügte, damit man im Internet einkaufen konnte. Weder der Karteninhaber noch die CVC-Prüfnummer wurde kontrolliert.
Angreifer, die mit einem Lesegerät (z.B. Smartphone) über NFC die Kreditkartennummer und Ablaufdatum auslesten, konnten mit den Daten ganz einfach einkaufen. Die ersten acht Stellen waren bei allen virtuellen Karten gleich, nur sieben Stellen waren benutzerdefiniert, weil die letzte eine Prüfziffer war.
Eine Sicherheitsfirma habe vor einem Jahr bereits den Fehler gemeldet, doch PayPal hatte keine Interesse daran. Als es in den Medien zu mehreren Berichten kam, wurden die virtuellen Karten von Google schließlich deaktiviert. Inzwischen sind diese wieder verfügbar.
Immer noch nicht gelöst?
Jetzt gibt es wieder vereinzelte Nutzer, welche sich in den PayPal-Foren als Opfer melden. Es werden erneut kleine Beträge abgebucht und PayPal stellt sich anscheinend erneut quer. Man behauptet, dass diese vom Nutzer autorisiert worden sind. Als Händler wird in der Bestätigung immer Google und als Verwendungszweck das russische Netzwerk vKontakte angegeben.
Bei den Fällen im Februar wurden auch zuerst kleine Beträge abgebucht um zu schauen, ob die Abbuchungen zu testen. Doch dann wurden es Beträge, die höher als 1000 € wurden. Es wäre ein absolutes Unding, wenn das Problem nach einem riesigen Aufschrei und einer Sicherheitsmeldung von vor einem Jahr, immer noch nicht behoben wurde. Als Betroffener solltet ihr (erneut) die Einzugsberechtigung von Google entziehen:
1) Rufen Sie die Seite Einstellungen auf.
2) Klicken Sie auf Zahlungen.
3) Klicken Sie auf Zahlungen im Einzugsverfahren verwalten und stornieren Sie die neueste aktive Abbuchungsvereinbarung von Google, Inc.
