Paypal in Verknüpfung mit Google Pay ermöglicht Dritten unrechtmäßige Abbuchungen, aufgrund mangelnder Identitätsfeststellung. In den Supportforen von Google Pay und Paypal meldeten mehrere Nutzer nicht autorisierte Transaktionen. Nachdem "Golem.de" am Montag darüber berichtete, meldete sich die Sicherheitsfirma Exablue. Sie behauptete das Problem zu kennen und bereits im Februar 2019 Paypal darüber informiert zu haben, wie "Golem.de" einen Tag später schrieb.

Identitätsfeststellung nicht vorhanden

Voraussetzung für den von Exablue entdeckten Betrug ist eine Verknüpfung von Paypal mit Google Pay. Bei einer Google Pay Transaktion stellt Paypal eine virtuelle Kreditkarte zur Verfügung, die kontaktlose Zahlungsvorgänge durchführen lässt. Das Problem hierbei wäre, dass die von Paypal bereitgestellten Kreditkarten auch bei Onlinezahlungsvorgängen verwendbar seien. Zusätzlich soll Paypal weder den Namen noch die dreistellige CVC-Nummer überprüfen. Mit einem Testaccount soll Exablue eine Zahlung als "John Doe" mit der CVC-Nummer 000 erfolgreich durchgeführt haben.

Kartendaten ausgelesen oder erraten

Damit Fremde an die Daten gelangen, müssen sie in der Nähe eines entsperrten Smartphones sein, dessen Bildschirm angeschalten ist. Mit einem NFC-fähigen Lesegerät können die Kreditkartennummer und das Ablaufdatum ausgelesen werden, vorausgesetzt der Besitzer des Smartphones nutzt Google Pay mit Paypal.

Exablue betonte im Gespräch mit "Golem.de", dass die Firma sich nicht sicher sei, ob die gemeldeten Betrugsfälle so abgelaufen sind. Ein weiteres, mögliches Szenario soll ein Glückstreffer sein: Die ersten acht Stellen jeder virtuellen Kreditkarte seien immer gleich und die letzte Zahl eine Prüfziffer. Die restlichen sieben Stellen und das Ablaufdatum könne man somit auch erraten.

Auch heute soll die Sicherheitsfirma den "John Doe"-Trick versucht haben, erneut mit Erfolg. "Golem.de" habe zu einer angefragten Stellungnahme von Paypal noch keine Antwort erhalten. (emko, 25.02.2020)