Paypal: Sicherheitslücke bei Google Pay schon ein Jahr bekannt

[HWL News Bot]

Seit einigen Tagen gibt es immer mehr Berichte, dass Nutzer von Google Pay und Paypal auf ihrer Abrechnung unerklärliche Abbuchungen vorfinden. Wie nun eine Sicherheitsfirma mitteilt, soll die genutzte Sicherheitslücke bereits vor einem Jahr an Paypal gemeldet worden sein. Der Zahlungsdienstleister habe jedoch keine entsprechenden Maßnahmen getroffen, um diese zu schließen.
... weiterlesen

 

[Mr.Mito]

Paypal - (un)sicherererer

 

[Gelöschtes Mitglied 144635]

NFC nutzen und sich wundern, dass man plötzlich digital ausgeraubt wird.

 

[Mr.Mito]

Das ist kein NFC Problem, sondern ein Problem von Pfusch an allen Fronten bei Paypal!
Es wird kein Name der Kreditkarte überprüft und auch keine CVC abgefragt. Zudem hat PP über ein Jahr die bekannte Lücke nicht gefixt.
Die damaligen Sicherheitsforscher haben Zahlungen als "John Doe" mit CVC 000 getätigt und Paypal wollte zuerst nicht einmal die Lücke anerkennen.

 

[wazzup]

Mein Mitleid mit Google Pay Nutzern hält sich sehr stark in Grenzen

 

[Gelöschtes Mitglied 299521]

Ja ihr Lemminge, quetscht immer mehr Zwischenblutsauger zwischen eurem Konto und der Firma wo ihr kauft, das macht es sicherer, je mehr desto sicherer

 

[Fallwrrk]

Selbst die Heise-Kommentare sind weniger kritisch als ihr. Liegt vielleicht aber daran, dass die Leute in den Heise-Kommentaren verstanden haben wo das Problem ist und diverse Leute in diesem Thread hier nicht. Tipp: Es liegt weder an Google Pay noch an NFC-Payments.

 

[johnconnor00]

PayPal Support ist echt unglaublich...tun so als wüssten die von nichts und man wird zig mal weitergeleitet

 

[Mr.Mito]

@Fallwrrk:

Der Unterschied dürfte sein, dass die Leute bei Heise es von der technischen Seiten her betrachten wollen.

Gibt im Übrigen Updates dazu:

PayPal über Google Pay: Lücke noch immer nicht behoben – und wohl schlimmer als befürchtet

Eine Sicherheitslücke, die unautorisierte PayPal-Abbuchungen via Google Pay ermöglicht, ist laut ihrem Entdecker noch leichter ausnutzbar als zuvor angenommen.

www.heise.de

Paypal legt nochmal nach, im Negativen.

Gegenüber heise Security und auf Twitter schilderte Fenske nun neue Erkenntnisse des Forscherteams: Tatsächlich würden "bei den virtuellen Kreditkarten, die PayPal zum Zwecke der Zahlungsabwicklung bereitstellt, außer der Kartennummer keine Parameter geprüft". Zuvor hatte das Team angenommen, dass zumindest das Ablaufdatum geprüft werde.
Die vollständig fehlende Überprüfung bedeutet laut Fenske, "dass man nur ca. 100 Versuche braucht, um eine gültige Kreditkartennummer zu generieren, mit der man beliebig Geld von einem zufälligen PayPal-Account einziehen kann".

 

[Fallwrrk]

@Mr.Mito Schade, dass ich in einem Technikforum nicht das Gleiche erwarten kann. Hauptsache man hat wieder ne Chance Google Pay/Apple Pay etc. zu bashen.

Hoffentlich wird das bei PayPal so richtig einschlagen...

Kurz zusammengefasst: PayPal generiert virtuelle Kreditkartennummern mit nur sieben variablen Ziffern, es gibt kein Name, kein Ablaufdatum und keine CVC. Ich generiere also einfach eine 7-stellige Zahl und die Prüfziffer dazu, schmeiße diese bei Amazon rein und schau, ob sie akzeptiert wird. Wenn nicht, nächste Zahl. Das erinnert wirklich an die frühen 90er...

 

[Gelöschtes Mitglied 144635]

Ach Fallwrrk, statt hier die Basher zu bashen schau doch mal wieder mehr im Linuxforum vorbei.

 

[NewLuxxUser]

Paypal mit Kreissparkasse ....... 0 Probleme
Paypal mit Volksbank................. 0 Probleme
Paypal mit Appel Pay................. 0 Probleme
Paypal mit verschiedenen anderen Banken und Kreditkarten Anbietern...... 0 Probleme

Papypal mit Google Pay...... 100% momentan ein Problem.

Mhhhhh was sagt einem sowas?

 

[Scrush]

ich nutze gooogle pay + paypal für ING.

kann ich das nicht irgendwie absichern?

bzw ich kann paypal mitlerweile außen vor lassen und nur google + die ing kreditkarte nutzen.

 

[Fallwrrk]

Mhhhhh was sagt einem sowas?

Dass du nicht verstanden hast was genau das Problem ist. Übrigens gibt es kein PayPal mit Apple Pay.