Eine bereits im Februar 2019 entdeckte Sicherheitslücke, die unautorisierte PayPal-Abbuchungen via Google Pay ermöglicht, ist laut ihrem Entdecker noch leichter ausnutzbar als zuvor angenommen und wird jetzt offenbar von Kriminellen ausgenutzt
Einige Nutzer, die Google Pay mit PayPal als Zahlungsmethode verwendeten, berichten seit einigen Tagen über unerklärliche Abbuchungen von ihren PayPal-Konten. Jetzt meldet sich eine Sicherheitsfirma und behauptet, das Problem dahinter zu kennen und dies bereits vor einem Jahr an PayPal gemeldet zu haben.
PayPal hatte hatte am Dienstag verlauten lassen, das Problem mit den unberechtigten Abbuchungen behoben zu haben. „Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen“, hieß es weiter. Betroffenen Kunden würden sämtliche nicht autorisierte Zahlungen zurückerstattet.
Andreas Mayer von Exablue hatte dieses Problem im Februar 2019 entdeckt an PayPal über dessen Bugbounty-Programm bei HackerOne gemeldet. Zunächst bestritt PayPal, dass es sich um eine echte Sicherheitslücke handele. Nach einiger Überzeugungsarbeit und nachdem Exablue PayPal den Angriff in einem Video gezeigt hat, erkannte man den Bericht jedoch an. Exablue erhielt für seinen Bericht anschließend eine Bugbounty von 4.400 US-Dollar von PayPal. Doch behoben wurde der Bug trotz mehrfacher Nachfragen von Exablue nicht. Exablue-Geschäftsführer Markus Fenske schilderte das Problem: Demnach funktioniert die Zahlung über Google Pay so, dass PayPal eine virtuelle Kreditkarte bereitstellt. Mit dieser kann Google Pay kontaktlose Zahlungsvorgänge via NFC durchführen. Bei der Umsetzung hat PayPal wohl zwei Fehler gemacht, die das System verwundbar machen.
Zum einen sind die virtuellen Kreditkarten nicht nur für kontaktlose NFC-Zahlungen freigeschaltet, sondern auch für Onlinezahlungsvorgänge. Bei anderen Systemen, die ebenfalls virtuelle Kreditkarten für Zahlungsvorgänge nutzen, sind diese nur für kontaktlose Zahlungen freigeschaltet und andere Zahlungsarten sind gesperrt.
Besonders kritisch: PayPal prüft bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarte. Exablue hatte demnach eine Zahlung mit dem Namen John Doe und einer CVC von 000 bei einem Testaccount durchgeführt. Die vollständig fehlende Überprüfung bedeutet laut Fenske, „dass man nur ca. 100 Versuche braucht, um eine gültige Kreditkartennummer zu generieren, mit der man beliebig Geld von einem zufälligen PayPal-Account einziehen kann“.
Fazit: Der Umgang einer Branchengröße wie PayPal mit Sicherheitsproblemen lässt einiges zu wünschen übrig.
Quellen: Heise, Golem, dpa