Google Pay und Paypal: Sicherheitsproblem war schon seit 2019 bekannt
bigtunaonline/bigstock.com
Eine gravierende Sicherheitslücke bei Paypal, die Kunden mit der virtuellen Kreditkarte betrifft, die es speziell für die Nutzung von Google Pay gibt, sorgt dieser Tage für Schlagzeilen. Das Perfide dabei: Die Sicherheitslücke ist möglicherweise schon seit rund einem Jahr bekannt, wurde aber offenbar bis heute nicht geschlossen.
Jetzt berichten seit einigen Tagen Medien über unberechtigte Abbuchungen einiger Nutzer, die alle nach einem ähnlichen Muster ablaufen. Es handelt sich in allen derzeit bekannten Fällen um Abbuchungen aus den USA, die laut Forumsnutzern (hier und hier) in den meisten Fällen Filialen einer US-Handelskette namens Target zugeordnet werden. Auch lange, keinen Sinn ergebende Buchstabenketten finden sich als Verwendungszweck der Buchung. Wohl gemerkt: Bei Target wurde offenbar nur eingekauft, die Daten könnten also auch via Darknet an Dritte verkauft worden sein, sodass es mit höchster Wahrscheinlichkeit keinen Zusammenhang mit Target-Angestellten gibt. Die Summen, die abgebucht wurden, variieren dabei stark – von kleinen, einstelligen Beträgen bis hin zu vierstelligen Beträgen.
Es kann sich also nicht nur um solche abgefischten Zahlungen unterhalb eines 25-Euro-Betrags handeln, die ohne Authentifizierung durch den Kunden möglich sind.”
Betroffen waren auch solche Kunden, die ihre Zwei-Faktor-Authentisierung ordnungsgemäß eingestellt hatten. Google selbst kann nach eigenen Angaben die veranlassten Buchungen gar nicht sehen und auch nicht rückabwickeln. Paypal wiederum, auf die Google verweist, schickt die Kunden nicht an die zuständigen Banken weiter, sondern storniert offenbar die betroffenen Buchungen von Kunden innerhalb von 24 Stunden, wenn’s gut läuft. Zudem raten beide beteiligten Unternehmen dazu, Anzeige bei der Polizei zu stellen, auch wenn das bei derart grenzüberschreitenden Geschäften eher eine Formsache sein dürfte als zur Aufklärung beitragen wird. Paypal kann außerhalb von Social Media per Telefon oder E-Mail kontaktiert werden.
Paypal-Sicherheitslücke: Das sind mögliche Schwachstellen
Paypal
Doch das Phänomen ist offenbar zumindest einigen Experten – und angeblich auch Paypal – seit rund einem Jahr bekannt. Wie Golem berichtet, hat der IT-Sicherheitsexperte Markus Fenske von Exablue das Unternehmen Paypal bereits im vergangenen Jahr auf Sicherheitslücken hingewiesen. Zwei Schwachstellen sind es, die Google Pay in der hier beschriebenen Paypal-Variante in ihrer Kombination besonders angreifbar machen sollen: Zum einen ist die virtuelle Kreditkarte offenbar nicht nur für die Zahlung via NFC freigeschaltet, sondern auch für Onlinezahlungsvorgänge geöffnet – anders als laut Fenske bei anderen Anbietern. Zum anderen checkt Paypal bei der Abwicklung offenbar in diesem Fall weder den Namen noch die CVC-Prüfnummer gegen. Exablue will dies durch eine Testzahlung bewiesen haben.
Es gibt grundsätzlich zwei Möglichkeiten:
1.Variante 1: Die Daten könnten in Deutschland physisch eingesammelt worden sein, indem Angreifer die Kreditkartennummer und das Ablaufdatum mit einem beliebigen NFC-fähigen Gerät auslesen, wenn das Smartphone eingeschaltet und der Bildschirm freigeschaltet ist. Er muss dazu aber in direkter Nähe des Opfers sein.
Tobias Weidemann, IT Finanzmagazin
Tobias Weidemann ist Redakteur und Berater für Content, Kommunikation und digitale Ideen. Arbeitet für Redaktionen, Agenturen und Unternehmen zu Technik- und Wirtschaftsthemen. Interessiert sich für Trends in E-Commerce und Online-Marketing, digitaler Transformation und Industrie 4.0 sowie FinTech und Security. Ist als Netzjournalist in sozialen Netzen, auf Konferenzen und Barcamps unterwegs.
2.Variante 2: Laut Exablue könnten Angreifer aber auch die Daten aus einem vorgegebenen Zahlenraum geraten haben: Die ersten acht Stellen sind bei allen virtuellen Karten gleich, die letzte Ziffer ist eine Prüfziffer, sodass sieben Stellen übrig bleiben. Hinzu kommen 17 mögliche Ablaufdaten, da es das System noch nicht allzu lange gibt und die Karten alle in einem bestimmten Zeitraum ausgegeben wurden. Fenske hat errechnet, dass sich hieraus 170 Millionen Varianten ergeben – welche der beiden Varianten wahrscheinlicher ist, bleibt zu diskutieren, prinzipiell möglich wären aber beide.
Paypal-Lücke bis vor Kurzem weiterhin nutzbar
Bemerkenswert ist aber auch die Tatsache, dass Exablue erklärt, man habe im Rahmen des Paypal-eigenen Bug-Bounty-Programms die Schwachstelle bereits im Februar vergangenen Jahres an Paypal gemeldet. Exablue erklärt, man habe die Sicherheitslücke zunächst bestritten und erst nach Vorführung innerhalb eines Videos an Exablue 4.400 US-Dollar Reward bezahlt. Bemerkenswert auch: Offenbar funktionierte die Sicherheitslücke in dieser Form auch noch nach Bekanntwerden der ersten Fälle bis in dieser Woche.
Wir haben dieses Problem im Februar 2019 über Hacker One an Paypal gemeldet. Nach einer anfänglichen Ablehnung und mehreren Diskussionen zahlte Paypal eine Fehlerprämie von 4.400 USD. Wir versuchten, mit Paypal in Kontakt zu bleiben, bis sie das Problem gelöst hatten, aber Paypal ignorierte unsere Anfragen größtenteils. Sie sagten uns im April 2019, wir sollten auf weitere Aktualisierungen warten. Das war ihre letzte Nachricht.“
Markus Fenske, Geschäftsführer Exablue
Wir haben bei Paypal nachgefragt und wollten vor allem wissen, warum die Sicherheitslücke überhaupt bestand und vor allem, warum sie nach deren Aufdeckung nicht schleunigst geschlossen wurde. Dies ist nämlich offenbar erst jetzt passiert, wie auch das Unternehmen einräumt (und laut Heise auch immer noch nicht wirklich erfolgreich geschlossen). Erklären, warum das so lange dauerte, will man nicht – und auch das Statement des Unternehmens fällt knapp und wenig erhellend aus. Zitieren lassen will sich damit freilich niemand persönlich – in einer kurzen Erklärung heißt es:
Wir haben uns unverzüglich der Behebung dieses Problems angenommen. Betroffen war eine sehr geringe Anzahl von Paypal-Kunden, die Google Pay nutzen. Das Problem wurde inzwischen behoben. Es wurden keine persönlichen Daten oder Finanzinformationen von Paypal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf Paypal-Konten.”
Schriftliches Statement von Paypal
Schon die Aussage „wir haben uns unverzüglich der Behebung dieses Problems angenommen“ ist bemerkenswert, wenn man bedenkt, dass durchaus offenbar erst kürzlich die genannten Zahlungen ausgeführt wurden, die Konten von Paypal-Kunden (wenn auch über den Umweg der virtuellen Debitcard) betrafen. Lediglich die Aussage „in den Bereichen Betrugsprävention und Risikomanagement setzt Paypal auf moderne Technologien, um seine Kunden zu schützen und sichere Zahlungen zu ermöglichen“ lässt sich unterschreiben: Denn die Sicherheitslücke, wenn sie in der durch Exablue geschilderten Form bestand, hat wenig mit modernsten und ausgefeiltesten Täuschungsstrategien zu tun, sondern ist IT-sicherheitstechnisches Grundlagenwissen, dessen Missachtung man gerade einem Weltkonzern mit Umsätzen in dieser Größenordnung nicht zugetraut hätte. tw
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/101662
Tobias Weidemann ist Redakteur und Berater für Content, Kommunikation und digitale Ideen. Arbeitet für Redaktionen, Agenturen und Unternehmen zu Technik- und Wirtschaftsthemen. Interessiert sich für Trends in E-Commerce und Online-Marketing, digitaler Transformation und Industrie 4.0 sowie FinTech und Security. Ist als Netzjournalist in sozialen Netzen, auf Konferenzen und Barcamps unterwegs.Wir haben uns unverzüglich der Behebung dieses Problems angenommen. Betroffen war eine sehr geringe Anzahl von Paypal-Kunden, die Google Pay nutzen. Das Problem wurde inzwischen behoben. Es wurden keine persönlichen Daten oder Finanzinformationen von Paypal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf Paypal-Konten.”
Schreiben Sie einen Kommentar