Mitglieder surfen ohne Werbung: Jetzt kostenlos registrieren!

Google Pay/Paypal - unautorisierte Abbuchungen

  • 62 Antworten
  • Neuester Beitrag
Diskutiere Google Pay/Paypal - unautorisierte Abbuchungen im Finanz-Apps im Bereich Business und Organisation.
Lopan

Lopan

Inventar
PayPal reagiert und Google mauert (auch bestätigt durch mehrere andere Betroffene) ^^

Fazit wird vermutlich sein, dass Google den Entrüsteten (wir sind unschuldig) spielt und PayPal als Zahlungsmethode entfernt.

Das ist jedoch schwerwiegend 😳
Ich habe heute Nacht eine Abbuchung an Target über 920€ "erhalten". Nachdem ich den Fall bei PayPal und Google gemeldet habe, war die Transaktion storniert. Ich habe daraufhin mein Google Passwort geändert und auch die Zwei-Faktor Authentifizierung aktiviert. Später, gegen 15:30 kam dann eine zweite Transaktion, ebenfalls über 900€ auf PayPal via Google Pay. Diese konnte jedoch nicht mehr gestoppt werden und wird jetzt via Lastschrift demnächst von meinem Konto abgebucht.

Diese zweite Abbuchung ist ja schon recht bemerkenswert, da die Kontodaten somit wahrscheinlich nicht via Phishing erbeutet oder aus einem größeren Hack stammen. Es scheint sich somit um eine größere Sicherheitslücke zu handeln, die keine Authentifizierungsdaten(!) benötigt.

Als Konsequenz habe ich jetzt mein Paypal-Konto eingefroren und sämtliche Zahlungsmittel aus Google Pay entfernt.
 
Zuletzt bearbeitet:
Lopan

Lopan

Inventar
Meine Entscheidung nun zu der Sachlage ist, dass ich Google Pay deinstalliert habe und auch zukünftig nicht mehr einsetze.

PayPal bleibt vorerst.

Die Schwachstelle lag eindeutig bei Google.
 
maik005

maik005

Urgestein
@Lopan
Mal eben 900 Euro vom Konto abbuchen lassen für etwas was man definitiv weder gekauft hat noch wofür man, z.b. durch Passwortherausgabe eine Verantwortung trägt 😱
So eine Lastschrift wurde ich direkt bei der Bank zurückgehen lassen, oder nicht?
Wobei da vermutlich PayPal am längeren Hebel sitzt und dann das Konto einschränkt?
 
M--G

M--G

Inventar
Ob das auch mit boon passieren kann? Okay da habe ich eh nicht viel drauf aber ich habe auch nichts zu verschenken.
 
Lopan

Lopan

Inventar
Nach meinen gestrigen intensiven Recherchen kristallisiert sich folgendes Bild heraus :

Von diesen unberechtigten Buchungen (Stichwort "Target Bank") wird erstmals seit 2014 berichtet.

Und es betrifft nicht nur deutsche Konten.

Ob nun eine einzelne (ungepatchte) Sicherheitslücke wiederholt ausgenutzt wird, oder immer wieder neue Lücken
genutzt werden vermag ich nicht zu sagen. Tatsache ist, dass an sämtlichen Autorisierungssperren vorbei agiert wird.

Der Accountinhaber ist diesem schutzlos ausgeliefert.
Es verbleibt nur eine Möglichkeit das zu verhindern.

Man sollte keine Kreditkarten bei Google hinterlegen, gleichwelcher Art auch immer.

Beispiel :
Es scheint auch fälle ohne Paypal zu geben. Diese Vorfälle haben Anfang des Jahres angefangen. Seit Chrome Google Pay integriert hat, scheint es möglich zu sein das auszunutzen. Es wird Automatisch aktiviert wenn eine Kreditkarte bei google hinterlegt ist. Ich kenne einen Fall wo genau das passiert ist. Kein Android Handy und kein google Pay aber durch ein Stadia Abo war die Kreditkarte hinterlegt und google pay war Automatisch in Chrome aktiviert. Irgendwann in der Nacht fanden Innerhalb einer Sekunde mehrere Abbuchungen statt. Ich war zufällig wach und hab bemerkt wie in Chrome die Meldung kam das mit Google Pay bezahlt wurde. Ich vermute es wurden gestohlene Kreditkarten Daten ausgenutzt die bei Google hinterlegt sind und Autorisiert sind. Durch die Autorisierung kann es sein das es möglich war es auszunutzen.
Ein anderer Betroffener äußert :
... Zumindest Paypal gibt sich ein wenig kommunikativ. Von Google ist dagegen überhaupt nichts zu lesen. Nutzer, die ihre Paypal Verknüpfung mit Google Pay noch nicht deaktiviert haben, berichten davon, dass sie in Google Pay keine verdächtigen Transaktionen mehr sehen können, diese in Paypal aber auftauchen. Ich habe Sorge, dass Google hier Nutzer täuschen möchte und alles auf Paypal abwälzt.
Google Pay: So könnt ihr euch gegen unberechtigte PayPal-Abbuchungen schützen
 
Zuletzt bearbeitet:
PurpleHaze

PurpleHaze

Lexikon
Krass! Gut zu wissen! Gleich mal alles checken.
 
Zuletzt bearbeitet:
holms

holms

Lexikon
@Lopan Das Problem ist, dass die virtuelle Kreditkarte von G-Pay auch für Onlinekäufe genutzt werden kann, dabei jedoch weder Name noch der CVC abgefragt werden.

Dies ist bei anderen "normalen" Kreditkarten aber der Fall, diese Kreditkarten sollten nicht betroffen sein, wenn in G-Pay eingebunden.
 
maik005

maik005

Urgestein
holms schrieb:
Das Problem ist, dass die virtuelle Kreditkarte von G-Pay auch für Onlinekäufe genutzt werden kann, dabei jedoch weder Name noch der CVC abgefragt werden.
Wieso ist sowas überhaupt möglich/zulässig?
Du meinst man gibt bloß die virtuelle Kartennummer beim bezahlen ein und das wars?!
 
Zuletzt bearbeitet:
holms

holms

Lexikon
@maik005 Markus Fenske sagt:
Demnach funktioniert die Zahlung über Google Pay so, dass Paypal eine virtuelle Kreditkarte bereitstellt. Mit dieser kann Google Pay kontaktlose Zahlungsvorgänge via NFC durchführen. Bei der Umsetzung hat Paypal aber zwei Fehler gemacht, die das System verwundbar machen.

Zum einen sind die virtuellen Kreditkarten nicht nur für kontaktlose NFC-Zahlungen freigeschaltet, sondern auch für Onlinezahlungsvorgänge. Bei anderen Systemen, die ebenfalls virtuelle Kreditkarten für Zahlungsvorgänge nutzen, sind diese nur für kontaktlose Zahlungen freigeschaltet und andere Zahlungsarten sind gesperrt.

Ein weiteres Problem macht die ganze Sache fatal: Paypal prüft bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarte.
Von hier zitiert: Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke - Golem.de

Insofern läge das Problem ganz allein bei PayPal als Bereitsteller der virtuellen Kreditkarte.
 
Zuletzt bearbeitet:
maik005

maik005

Urgestein
Ist ja unfassbar.
Musste PayPal für so fahrlässige Vorgehensweise nicht irgendwie abgemahnt werden oder so?
 
Lopan

Lopan

Inventar
Zuletzt bearbeitet:
holms

holms

Lexikon
@maik005 Keine Ahnung.

Mir ging es jetzt nur um das hier:
Lopan schrieb:
Die Schwachstelle lag eindeutig bei Google.
Wenn das stimmt, was Markus Fenske sagt, dann ist das ja eben nicht so.
Beitrag automatisch zusammengefügt:

@Lopan Der von dir verlinkte Artikel (zdnet) beruft sich ja ebenso auf Fenske und widerspricht deiner Schuldzuweisung zu Google. Schuld hat PayPal alleine.
 
Zuletzt bearbeitet:
Lopan

Lopan

Inventar
Wers glaubt, soll das ruhig so sehen. Ich werde da nicht weiter durch meine Posts insistieren.
 
Zuletzt bearbeitet:
holms

holms

Lexikon
@Lopan Für mich ist das, was Markus Fenske (Gründer der IT-Sicherheitsfirma Exablue) da sagt, bisher das Glaubwürdigste zu dem Thema, was ich bisher gelesen habe. Zumal er bereits vor einem Jahr darauf hingewiesen hatte.
 
Zuletzt bearbeitet:
F

fossi33

Lexikon
25.02.2020 15:31:49



SANTA CLARA (dpa-AFX) - Der Bezahldienst Paypal hat das Problem, durch das es zu unerlaubten Abbuchungen von Kundenkonten kam, nach eigenen Angaben behoben. "Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google (Alphabet C (ex Google)) Pay nutzen", schränkte die Firma am Dienstag ein. Angaben zur Ursache des Problems gab es zunächst nicht.
 
holms

holms

Lexikon
Ergänzung aus dem Artikel bei Golem:
Andreas Mayer von Exablue hatte dieses Problem im Februar 2019 entdeckt an Paypal über dessen Bugbounty-Programm bei Hackerone gemeldet. Zunächst bestritt Paypal, dass es sich um eine echte Sicherheitslücke handelt. Nach einiger Überzeugungsarbeit und nachdem Exablue Paypal den Angriff in einem Video gezeigt hat, erkannte man den Bericht jedoch an.

Exablue erhielt für seinen Bericht anschließend einen Bugbounty von 4.400 US-Dollar von Paypal. Doch behoben wurde das Problem trotz mehrfacher Nachfragen von Exablue nicht. Die Firma bestätigte Golem.de, dass sie den Angriff heute erneut ausprobiert hat und er weiterhin möglich ist.
Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke - Golem.de

Deutlicher geht es ja kaum ;). PayPal hat völlig gepennt.
 
Zuletzt bearbeitet:
M--G

M--G

Inventar
Gestern Abend kam ein Update für PayPal. Ob die damit das Problem behoben haben?
 
maik005

maik005

Urgestein
@M--G
Bestimmt nicht.
Das Problem ist ja serverseitig.
Zumal du die PayPal App für Google Pay ja gar nicht benötigst.
 
GuidoNexus

GuidoNexus

Experte
Google schein die Reißleine gezogen haben. Paypal lässt sich nicht mehr als Zahlungsmittel bei Google Pay hinzufügen. Funtioniert es bei euch als Bestandskunden noch?
 
Ähnliche Themen - Google Pay/Paypal - unautorisierte Abbuchungen Antworten Datum
13
17
201