Auch das beliebte Zahlungsmittel Paypal darf sich nun über eine Sicherheitslücke im System „freuen“. Eine Lücke, die unerlaubtes Abbuchen ermöglicht und wieder einmal eigentlich schon ein längere Zeit bekannt ist. 

Fractal_Design_Define_7
Seit einiger Zeit melden Paypal-Nutzter, dass sie verdächtige Abbuchungen in ihren Konten haben. Dabei wurde auch recht schnell eine klare Verbindung aufgebaut. Sämtliche Abbuchungen traten nämlich nur in Verbindung mit einem Google-Pay-Konto auf. Allerdings ist auch klar, dass das Problem auf der Seite von Paypal zu finden ist und nicht bei Google. So wird bei einer Verknüpfung eine virtuelle Kreditkarte angelegt, über die dann sämtliche Buchungen getätigt werden und welche dann bei Google auch als Standardzahlungsmittel eingestellt werden kann. Wurden diese Einstellungen vorgenommen, ist es nun über NFC und einer KartenleseApp eines zweiten Smartphones möglich, die Daten auszulesen. Sicherheitsforscher gehen derzeit davon aus, dass man mit einfachen Brut-Force-Angriffen vorgegangen ist, um an die Daten zu kommen und offenbar reichen gerade einmal sieben Stellen der Bank Identification Number (BIN) aus, damit Angreifer die Daten nutzen können. 

Wie so häufig bei solchen Problemen, kam nun auch hier wieder heraus, dass die Sicherheitslücke schon seit über einem Jahr bekannt ist. Bis das Problem aber publik wurde, entschied man sich offenbar dazu zu schweigen. Paypal hatte auch kurzfristig reagiert und veröffentlichte ein Statement, in dem es hieß, dass das Problem behoben sei. Allerdings gab dagegen der Entdecker der Lücke, Markus Fenske an, dass das Problem noch weiterhin Bestand hat. Schlimmer noch: Es sei mittlerweile sogar noch viel leichter an die sensiblen Daten heranzukommen.

Nutzern beider Services wird daher geraten erst einmal die Verknüpfung aufzuheben, bis die Sicherheitslücke zu 100% geschlossen wurde. 

Share