Unautorisierte Abbuchungen bei Google-Pay-Kunden mit Paypal-Anbindung

Unautorisierte Abbuchungen bei Google-Pay-Kunden mit Paypal-Anbindung

Von

Offenbar finden zurzeit immer mehr deutsche Google-Pay-Nutzer mit Paypal-Anbindung unautorisierte Abbuchungen eines amerikanischen Supermarkts auf ihren Kontoauszügen. Zugleich wird Kritik an Paypals Sicherheitsprozess laut.

Wer mit Google Pay zahlt, kann sein Konto mit einem Paypal-Account verknüpfen. Diese Kombination sorgt aber zurzeit offenbar für größere Probleme: Laut verschiedenen Foren-Threads finden Nutzer nie getätigte Abbuchungen auf ihren Konten. Diese stammen häufig aus amerikanischen Supermärkten. Google verweist Kundenbeschwerden an Paypal. In einigen Fällen scheint das Unternehmen das Geld bereits zurückerstattet zu haben.

Augenfällig ist, dass die Abhebungen bei einigen Nutzern 2FA umgehen. Unter anderem machen sich die Angreifer zunutze, dass sich mit Google Pay und per NFC auch ohne Eingabe einer PIN größere Beträge abheben lassen. Auch CVC-Checks scheint es keine zu geben. Soweit bekannt, haben die betroffenen Nutzer ihre Telefone nicht verloren oder aus der Hand gegeben.

Paypal ignoriert Bugs

Schon vor dem Ausnutzen der Lücke äußerten Hacker in einem Artikel Beschwerden über Paypals Umgang mit gefundenen Sicherheitslücken. Paypal, so die Kritik, biete zwar über HackerOne ein Bug-Bounty-Programm an, dieses sei aber reine Fassade. Die Verfasser des Artikel erklärten, sie hätten mehrere Lücken gemeldet, aber die Antworten von Paypal seien alles andere als hilfreich gewesen. Eine der darin erwähnten Lücken erlaubt es zum Beispiel, 2FA zu umgehen, eine andere erlaubt es, ohne PIN ein neues Telefon zu registrieren.

In dieselbe Kerbe haut ein Hacker namens Iblue, der sich auf Twitter über Paypals Bug-Bounty-Programm beschwert. Er habe bereits vor einem Jahr eine schwere Sicherheitslücke gemeldet, die Paypal erst nach langer Diskussion anerkannt habe. Ein Fix dafür sei nie veröffentlicht worden, schreibt der Nutzer auf Twitter, nun werde die Lücke seiner Ansicht nach aktiv ausgenutzt. Dank ihr sei es möglich, die Daten der virtuellen Paypal-Kreditkarte auf einem aktiven Mobilgerät quasi im Vorbeigehen auszulesen. Das wäre theoretisch eine Möglichkeit, an die Daten der virtuellen Paypal-Kreditkarte zu gelangen. Eine andere bestünde darin, die Kartendaten über einen Hack bei einem Händler abzugreifen.

Verwandte Artikel

Linux-Kommandozeilentools kommen für Windows

Logo Windows 11 (Quelle: Microsoft)

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

E-Mail Benachrichtigung
Benachrichtige mich zu:
1 Kommentar
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
Linux Hase
6 Jahre her

Also ich weiß ganz genau, das, wenn auch nur ein Cent meines Geldes unrechtmäßig abgebucht wird, ich sofort mein Konto bei Paypal kündigen werde. Es wird dann definitiv auch kein zurück mehr geben, die wären für den Rest meines Lebens raus aus meinem Fokus.

0
Antworten
© COMPUTEC MEDIA GmbH
Nach oben