Google Pay/Paypal - unautorisierte Abbuchungen

Lopan

Lopan

Inventar
22.997
Ich habe zu meinen Zahlungen gestern Paypal angeschrieben und die Zahlungen gemeldet. Zusätzlich heute morgen mit Paypal telefoniert. Der Mitarbeiter hat bestätigt, dass Google wohl bereits erkannt hätte, dass mit den Zahlungen etwas nicht stimmt.
Inzwischen wurde eine Zahlung gebucht und durch Paypal wieder erstattet. Somit ist mir erstmal kein Schaden entstanden.
Eine zweite Zahlung steht noch auf "Autorisierung". Diese würde nicht ausgeführt werden und soll laut dem Mitarbeiter in den nächsten zwei bis drei Tagen in der Übersicht verschwinden.
Was mich ärgert, ist das Verhalten von Google. Seit gestern keine Reaktion mehr von Google. Dort ist man scheinbar der Ansicht, dass sie damit nichts zu tun haben. Dies Konsequenz wird sein, dass ich Google Pay die längste Zeit genutzt habe.
Zum Vergrößern anklicken....
PayPal reagiert und Google mauert (auch bestätigt durch mehrere andere Betroffene) ^^

Fazit wird vermutlich sein, dass Google den Entrüsteten (wir sind unschuldig) spielt und PayPal als Zahlungsmethode entfernt.

Das ist jedoch schwerwiegend 😳
Ich habe heute Nacht eine Abbuchung an Target über 920€ "erhalten". Nachdem ich den Fall bei PayPal und Google gemeldet habe, war die Transaktion storniert. Ich habe daraufhin mein Google Passwort geändert und auch die Zwei-Faktor Authentifizierung aktiviert. Später, gegen 15:30 kam dann eine zweite Transaktion, ebenfalls über 900€ auf PayPal via Google Pay. Diese konnte jedoch nicht mehr gestoppt werden und wird jetzt via Lastschrift demnächst von meinem Konto abgebucht.

Diese zweite Abbuchung ist ja schon recht bemerkenswert, da die Kontodaten somit wahrscheinlich nicht via Phishing erbeutet oder aus einem größeren Hack stammen. Es scheint sich somit um eine größere Sicherheitslücke zu handeln, die keine Authentifizierungsdaten(!) benötigt.

Als Konsequenz habe ich jetzt mein Paypal-Konto eingefroren und sämtliche Zahlungsmittel aus Google Pay entfernt.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: iieksi
Meine Entscheidung nun zu der Sachlage ist, dass ich Google Pay deinstalliert habe und auch zukünftig nicht mehr einsetze.

PayPal bleibt vorerst.

Die Schwachstelle lag eindeutig bei Google.
 
  • Danke
Reaktionen: iieksi und M--G
@Lopan
Mal eben 900 Euro vom Konto abbuchen lassen für etwas was man definitiv weder gekauft hat noch wofür man, z.b. durch Passwortherausgabe eine Verantwortung trägt 😱
So eine Lastschrift wurde ich direkt bei der Bank zurückgehen lassen, oder nicht?
Wobei da vermutlich PayPal am längeren Hebel sitzt und dann das Konto einschränkt?
 
  • Danke
Reaktionen: M--G
Ob das auch mit boon passieren kann? Okay da habe ich eh nicht viel drauf aber ich habe auch nichts zu verschenken.
 
Nach meinen gestrigen intensiven Recherchen kristallisiert sich folgendes Bild heraus :

Von diesen unberechtigten Buchungen (Stichwort "Target Bank") wird erstmals seit 2014 berichtet.

Und es betrifft nicht nur deutsche Konten.

Ob nun eine einzelne (ungepatchte) Sicherheitslücke wiederholt ausgenutzt wird, oder immer wieder neue Lücken
genutzt werden vermag ich nicht zu sagen. Tatsache ist, dass an sämtlichen Autorisierungssperren vorbei agiert wird.

Der Accountinhaber ist diesem schutzlos ausgeliefert.
Es verbleibt nur eine Möglichkeit das zu verhindern.

Man sollte keine Kreditkarten bei Google hinterlegen, gleichwelcher Art auch immer.

Beispiel :
Es scheint auch fälle ohne Paypal zu geben. Diese Vorfälle haben Anfang des Jahres angefangen. Seit Chrome Google Pay integriert hat, scheint es möglich zu sein das auszunutzen. Es wird Automatisch aktiviert wenn eine Kreditkarte bei google hinterlegt ist. Ich kenne einen Fall wo genau das passiert ist. Kein Android Handy und kein google Pay aber durch ein Stadia Abo war die Kreditkarte hinterlegt und google pay war Automatisch in Chrome aktiviert. Irgendwann in der Nacht fanden Innerhalb einer Sekunde mehrere Abbuchungen statt. Ich war zufällig wach und hab bemerkt wie in Chrome die Meldung kam das mit Google Pay bezahlt wurde. Ich vermute es wurden gestohlene Kreditkarten Daten ausgenutzt die bei Google hinterlegt sind und Autorisiert sind. Durch die Autorisierung kann es sein das es möglich war es auszunutzen.
Zum Vergrößern anklicken....

Ein anderer Betroffener äußert :
... Zumindest Paypal gibt sich ein wenig kommunikativ. Von Google ist dagegen überhaupt nichts zu lesen. Nutzer, die ihre Paypal Verknüpfung mit Google Pay noch nicht deaktiviert haben, berichten davon, dass sie in Google Pay keine verdächtigen Transaktionen mehr sehen können, diese in Paypal aber auftauchen. Ich habe Sorge, dass Google hier Nutzer täuschen möchte und alles auf Paypal abwälzt.
Zum Vergrößern anklicken....

Google Pay: So könnt ihr euch gegen unberechtigte PayPal-Abbuchungen schützen
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: iieksi, vergilbt, maik005 und 2 andere
Krass! Gut zu wissen! Gleich mal alles checken.
 
Zuletzt bearbeitet:
@Lopan Das Problem ist, dass die virtuelle Kreditkarte von G-Pay auch für Onlinekäufe genutzt werden kann, dabei jedoch weder Name noch der CVC abgefragt werden.

Dies ist bei anderen "normalen" Kreditkarten aber der Fall, diese Kreditkarten sollten nicht betroffen sein, wenn in G-Pay eingebunden.
 
holms schrieb:
Das Problem ist, dass die virtuelle Kreditkarte von G-Pay auch für Onlinekäufe genutzt werden kann, dabei jedoch weder Name noch der CVC abgefragt werden.
Zum Vergrößern anklicken....
Wieso ist sowas überhaupt möglich/zulässig?
Du meinst man gibt bloß die virtuelle Kartennummer beim bezahlen ein und das wars?!
 
Zuletzt bearbeitet:
@maik005 Markus Fenske sagt:
Demnach funktioniert die Zahlung über Google Pay so, dass Paypal eine virtuelle Kreditkarte bereitstellt. Mit dieser kann Google Pay kontaktlose Zahlungsvorgänge via NFC durchführen. Bei der Umsetzung hat Paypal aber zwei Fehler gemacht, die das System verwundbar machen.

Zum einen sind die virtuellen Kreditkarten nicht nur für kontaktlose NFC-Zahlungen freigeschaltet, sondern auch für Onlinezahlungsvorgänge. Bei anderen Systemen, die ebenfalls virtuelle Kreditkarten für Zahlungsvorgänge nutzen, sind diese nur für kontaktlose Zahlungen freigeschaltet und andere Zahlungsarten sind gesperrt.

Ein weiteres Problem macht die ganze Sache fatal: Paypal prüft bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarte.
Zum Vergrößern anklicken....
Von hier zitiert: Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke - Golem.de

Insofern läge das Problem ganz allein bei PayPal als Bereitsteller der virtuellen Kreditkarte.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Zyrous, M--G und maik005
Ist ja unfassbar.
Musste PayPal für so fahrlässige Vorgehensweise nicht irgendwie abgemahnt werden oder so?
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: iieksi, M--G und holms
@maik005 Keine Ahnung.

Mir ging es jetzt nur um das hier:
Lopan schrieb:
Die Schwachstelle lag eindeutig bei Google.
Zum Vergrößern anklicken....
Wenn das stimmt, was Markus Fenske sagt, dann ist das ja eben nicht so.
Beiträge automatisch zusammengeführt:

@Lopan Der von dir verlinkte Artikel (zdnet) beruft sich ja ebenso auf Fenske und widerspricht deiner Schuldzuweisung zu Google. Schuld hat PayPal alleine.
 
Zuletzt bearbeitet:
Wers glaubt, soll das ruhig so sehen. Ich werde da nicht weiter durch meine Posts insistieren.
 
Zuletzt bearbeitet:
@Lopan Für mich ist das, was Markus Fenske (Gründer der IT-Sicherheitsfirma Exablue) da sagt, bisher das Glaubwürdigste zu dem Thema, was ich bisher gelesen habe. Zumal er bereits vor einem Jahr darauf hingewiesen hatte.
 
Zuletzt bearbeitet:
icon_clock_black.png
25.02.2020 15:31:49



SANTA CLARA (dpa-AFX) - Der Bezahldienst Paypal hat das Problem, durch das es zu unerlaubten Abbuchungen von Kundenkonten kam, nach eigenen Angaben behoben. "Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google (Alphabet C (ex Google)) Pay nutzen", schränkte die Firma am Dienstag ein. Angaben zur Ursache des Problems gab es zunächst nicht.
 
Ergänzung aus dem Artikel bei Golem:
Andreas Mayer von Exablue hatte dieses Problem im Februar 2019 entdeckt an Paypal über dessen Bugbounty-Programm bei Hackerone gemeldet. Zunächst bestritt Paypal, dass es sich um eine echte Sicherheitslücke handelt. Nach einiger Überzeugungsarbeit und nachdem Exablue Paypal den Angriff in einem Video gezeigt hat, erkannte man den Bericht jedoch an.

Exablue erhielt für seinen Bericht anschließend einen Bugbounty von 4.400 US-Dollar von Paypal. Doch behoben wurde das Problem trotz mehrfacher Nachfragen von Exablue nicht. Die Firma bestätigte Golem.de, dass sie den Angriff heute erneut ausprobiert hat und er weiterhin möglich ist.
Zum Vergrößern anklicken....
Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke - Golem.de

Deutlicher geht es ja kaum ;). PayPal hat völlig gepennt.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: iieksi, Zyrous und M--G
Gestern Abend kam ein Update für PayPal. Ob die damit das Problem behoben haben?
 
@M--G
Bestimmt nicht.
Das Problem ist ja serverseitig.
Zumal du die PayPal App für Google Pay ja gar nicht benötigst.
 
  • Danke
Reaktionen: holms und M--G
Google schein die Reißleine gezogen haben. Paypal lässt sich nicht mehr als Zahlungsmittel bei Google Pay hinzufügen. Funtioniert es bei euch als Bestandskunden noch?
 
  • Danke
Reaktionen: Lopan
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
Google Pay/Google Wallet NFC BEZAHLUNG mit PayPal - Identität bestätigen nach Bezahlversuch?
  • Koston85
Antworten
7
Aufrufe
453
pleitegeier
P
S
Debitkarte in Google Wallet/Pay einbinden?
  • StonyD
Antworten
15
Aufrufe
258
Harald01
Harald01
G
Nur Google Pay unter Android?
  • gene
Antworten
7
Aufrufe
468
limuc
L
Zurück
Oben Unten