Muss das sein? Sicherheitslücke bei PayPal

https://blog.wdr.de/digitalistan/muss-das-sein-sicherheitsluecke-bei-paypal/

Muss das sein? Sicherheitslücke bei PayPal

Kommentare zum Artikel: 8

Mobile Payment ist eine feine Sache – wenn man ‘s mag. Ob kleine oder große Beträge: Einfach Smartphone zücken, Kredit- oder EC-Karte auswählen, ans Terminal halten – fertig. Selbst die PIN-Eingabe entfällt, weil das Smartphone ja ohnehin abgesichert ist. Auch mit der Apple Watch kann man auf diese Weise bequem bezahlen. Das geht schneller als Bargeld und auch schneller als mit einer Plastikarte. Außerdem fließen praktisch keine Daten an den jeweiligen Händler. Feine Sache also.

Bezahlen mit der Smartwatch: Bequem - aber derzeit gibt es auch Risiken; Rechte: WDR/Schieb

Bezahlen mit der Smartwatch: Bequem – aber derzeit gibt es auch Risiken

Unautorisierte Abbuchungen – teilweise 4-stellig

Derzeit werden Mobile-Payment-Fans aber aufgeschreckt: Viele haben unautorisierte Belastungen erhalten. Von einem Kaufhaus “Target” aus den USA – oder von Händlern mit Quatschnamen. Viele Belastungen drei-, manche sogar vierstellig. Das Problem: PayPal erzeugt – wie auch andere Banken – virtuelle Kreditkarten. Allerdings macht es PayPal Betrügern sehr einfach: Die Kreditkartendaten sind leicht zu erraten. Und: PayPal überprüft keine zusätzlichen Daten wie CVC (Kontrollcode), Ablaufdatum, Name oder Sicherheitscode neben dem Unterschriftfeld. Das öffnet Betrügern Tür und Tor.

Allerdings gibt es das Problem nur in Kombination Google Pay und PayPal. Was noch bedenklicher ist: Das Leck ist seit über einem Jahr bekannt. Ein deutscher Entwickler hat das Problem gefunden, es bei PayPal gemeldet und dafür sogar eine Prämie (Bug Bounty) erhalten – aber geschlossen wurde das Leck offensichtlich bis heute nicht.

Markus Fenske, CEO beim Sicherheitsunternehmen exablue, dessen Mitarbeiter Andreas Mayer die Lücke vor einem Jahr entdeckt hat, beschreibt den so genannten Angriffsvektor auf Twitter so:

Um NFC-Zahlungen zu ermöglichen, generiert die PayPal-App eine virtuelle Kreditkarte. Anders als bei anderen Anbietern kann über diese Karte aber nicht nur eine Zahlung im Einzelhandel autorisiert werden, sondern auch eine Zahlung im Online-Handel. Und in diesem Fall verlangt PayPal lediglich nach Angabe der Kartennummer sowie des Ablaufdatums.

Entwickler Jan Felix Wiebe erklärt die Hintergründe des Problems

Sicherheit muss unbedingt besser werden

Zwar können sich betroffene Kunden an PayPal wenden und bekommen ihr Geld zurück. Doch ist das trotzdem kein Zustand: In einem sensiblen Bereich wie Mobile Payment derart fahrlässig und nachlässig zu sein, ist unentschuldbar. Sicherheitsexperte Jan Felix Wiebe kritisiert PayPal für diese Schlampigkeit in einem Interview (siehe Video). Zu Recht. Denn spätestens, wenn ein Leck bekannt ist, sollte es doch schleunigst geschlossen werden.

Natürlich hätte auch Google Pay reagieren und PayPal zeitweise ausschließen können. Das alles lässt den Eindruck entstehen, dass Mobile Payment unsicher sei. Normalerweise ist das nicht der Fall. Mobile Payment liefert den Händlern zum Beispiel weniger Daten als bei einer Zahlung mit Kreditkarte. Vor allem Apple Pay macht hier einen guten Job. Und weil Apple auch keine Geschäfte mit Nutzerdaten macht, scheint es derzeit das überlegene Payment-Verfahren zu sein.

Wie wär’s mit einer Art TÜV für Zahlungsdienste? Verbockt ein Anbieter relevante Sicherheitsaspekte auf eklatante Weise – wie im aktuellen Fall -, sollten hohe Strafen drohen. Oder Entzug der Lizenz für einige Wochen. Wenn derartiges droht, würden sich die Anbieter mehr anstrengen.

 

 

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

8 Kommentare

  1. Das Problem besteht schon seit einiger Zeit in ähnlicher Form bei NFC-Karten. Solche Ausmaße waren mir noch nicht bekannt. Wir sollen neben all dieser neuen Technik, immer ein gewisses Maß an Skepsis walten lassen. Noch nicht lange her, gabs es einen komplett Ausfall bei Visa/Mastercard… durfte dies an der örtliches Tankstelle live miterleben. Gefühlt konnten 2/3 nicht mehr mit Bargeld bezahlen.

  2. Da Cyber-Hacking auf dem Vormarsch ist, ist es kein Wunder, dass mobile Zahlungen bedroht sind. Die Cybersicherheit muss ihre Anstrengungen verstärken, um die Verbrechen zu bekämpfen. Vielen Dank für den informativen Artikel.

  3. Ich bezahle seit Jahren bei REWE mit Gutscheinkarten, Diese sind immer wieder an der Kasse mit Bargeld aufladbar. Es gibt keine PIN, keine Daten, keine Kontoverbindung, die Karten sind verschenkbar und kosten nix. Wenn man wirklich eine Karte verlieren sollte, ist der gebuchte Betrag natürlich mit weg, genau wie Bargeld, aber mangels Kontoverbindung auch nur dieser Betrag, sonst nichts.
    Im Backshop gibt es bei Einzahlung sogar 5% Guthaben extra. Das gibts zZ bei keiner Bank! Ich wundere mich immer wieder, daß Leute sogar davor zurückschrecken.
    Der Handel profitiert ja auch noch durch Kundenbindung und Zeitersparnis.
    sorry für Tipfehler

  4. Ich bezahle seit Jahren bei REWE mit Gutscheinkarten, Diese sind immer wieder an der Kasse mit Bargeld aufladbar. Es gibt keine PIN, keine Daten, keine Kontoverbindung, die Karten sind verschenkbar und kosten nix. Wenn man wirklich eine Karte verlieren sollte, ist der gebuchte Betrag natürlich mit weg, genau wie Bargeld, aber mangels Kontoverbindung auch nur dieser Betrag, sonst nichts.
    Im Backshop gibt es bei Einzahlung sogar 5% Guthaben extra. Das gibts zZ bei keiner Bank! Ich wundere mich immer wieder, daß Leute sogar davor zurückschrecken.
    Der Handel profitiert ja auch noch durch Kundenbindung und Zietersparnus.

  5. OFF_LEINER am

    Solche Probleme werde ich niemals haben, denn ich werde sowohl ein Onlinebanking als auch ein Smartphonekomplett- und damit auch “Mobil-Payment”-Verweigerer bleiben, und zwar, so lange ich lebe.
    Diesem allen komplett zu entsagen hat folgende nicht zu unterschätzende Vorteile:
    => Man eliminert die Gefahr, ausspioniert, überwacht und beklaut zu werden.
    => Man behält den Überblick über seine Finanzen, in Sonderheit seine Ausgaben, wenn man mit richtigem (Bar-)Geld aus einem richtigen Portemonnaie bezahlt.
    => Man eliminiert die Gefahr, smartphonesuchtkrank zu werden.
    => Last but not at all least: Man bleibt körperlich fitter, weil und wenn man seine Bankfiliale persönlich aufsucht – vorausgesetzt natürlich, man fährt nicht mit einem Automobil dorthin, aber das wird mir kaum je passieren, weil ich mir das Auto schon vor 20 Jahren komplett vom Hals geschafft habe und seither zu Fuß gehe, Rad fahre oder Züge, Busse und Trams benutze.
    Conclusio: Man lebt suchtfrei, fitter und so überwachungsfrei wie möglich und wird nicht beklaut: Was will man mehr? :-)
    Conclusio:

    • Die EU-Bosse arbeiten bereits an der Abschaffung des Bargelds – letztlich landet jeder früher oder später beim Online-Banking. Mein Vater (73) wollte das auch nie – letztlich blieb ihm jetzt nichts anderes übrig. Die Banken sorgen schon dafür.

      • OFF_LEINER am

        @Dagmar: Danke für die Replik – ja, davon habe ich natürlich auch gelesen; die Menschen allerdings zu Onlinebanking oder, was auch im Schwange und NOCH schlimmer ist, zur Suchtphonenutzung ZWINGEN zu wollen – DAS ist bzw. wäre in unserem Staat schlicht verfassungwidrig als Verstoß gegen Art. 2 Abs. 1 GG, und eine Verfassungsbeschwerde zum BVerfG hätte m.E. sehr gute Erfolgsaussichten, ebenso Klagen wegen Verstößen gegen die EU-Grundrechte-Charta und gegen die Persönlichkeitsrechtsschutzbestimmungen der Datenschutzgrundverordnung.
        Und noch gibt es wirklich genügend Banken, die eine und einen NICHT zum Onlinebanking nötigen:
        An Stelle Ihres Vaters würde ich einfach mal die Bank wechseln!

Fehler beim Kommentieren

Ihr Kommentar konnte aus folgenden Gründen nicht abgeschickt werden:

  • Es gab einen kritischen Fehler auf deiner Website.

    Erfahre mehr über die Problembehandlung in WordPress.

  • Top