Unberechtigte Paypal Abbuchungen – das Problem war längst bekannt
In den letzten Tagen staunten Paypal-Kunden nicht schlecht. Wurden Ihnen doch Beträge bis zu 1000 Euro belastet, die sie nie ausgegeben hatten. Betroffen waren offenbar ausschließlich Kunden, die ihr Paypal-Konto mit Google Pay verknüpft hatten.
Das große Problem hinter der Geschichte ist die Tatsache, dass Paypal über das Problem seit über einem Jahr informiert war, sogar eine Fehlerprämie zahlte, aber offenbar nichts unternahm. Markus Fenske, CEO der Sicherheitsfirma exablue, schildert die Zusammenhänge in einem Thread auf Twitter.
Ich habe mir erlaubt, den englischen Text zu übersetzen:
Jede CVC und jeder Name des Karteninhabers wird akzeptiert. Die Kartendaten können mit jeder NFC-Leser-Applikation vom mobilen Gerät aus gelesen werden. Da jedoch einige der betroffenen Opfer behaupten, NFC ständig deaktiviert zu haben und nie kontaktlose Zahlungen verwendet zu haben, glauben wir nicht, dass die Angreifer auf einen physischen Angriffsvektor zurückgreifen wollten. Stattdessen gehen wir davon aus, dass sie nur die Kartennummern erraten haben, eine Technik, die als Brute-Force bezeichnet wird.
Wir haben festgestellt, dass die ersten acht Ziffern (die Bankleitzahl) der virtuellen Karte immer gleich sind, zumindest bei den von uns getesteten deutschen Konten. Es bleiben also 7 Ziffern zu erraten, da die letzte nur eine Prüfziffer ist, die aus den anderen 15 Ziffern berechnet wird. Der Dienst wurde im Oktober 2018 eingeführt, wobei 17 mögliche Verfallsdaten berücksichtigt wurden. Das macht 170 Millionen mögliche Karten. Geht man davon aus, dass 1 Million Nutzer in Deutschland NFC-Zahlungen ermöglicht haben, führt eine von 170 Mutmaßungen zu einer gültigen Kreditkarte.
Wir haben dieses Problem im Februar 2019 über HackerOne an PayPal gemeldet. Nach einer anfänglichen Ablehnung und mehreren Diskussionen zahlte PayPal eine Fehlerprämie von 4.400 USD. Wir versuchten, mit PayPal in Kontakt zu bleiben, bis sie das Problem gelöst hatten, aber PayPal ignorierte unsere Anfragen weitgehend. Sie sagten uns im April 2019, wir sollten auf weitere Aktualisierungen warten. Das war ihre letzte Nachricht. Am 25. Februar 2020 versuchten wir erfolgreich, die virtuelle Kreditkarte für Online-Zahlungen mit einem beliebigen Namen und CVC zu verwenden, was bedeutet, dass der Fehler immer noch nicht behoben ist.
Unsere Empfehlung ist, kontaktlose Zahlungen mit PayPal im Moment nicht zu benutzen, bis das Problem gelöst ist, um PayPal von der Ausgabe der virtuellen Kreditkarten auf das eigene Konto abzuhalten.
Mein Name ist Markus Fenske, ich bin der Geschäftsführer der exablue GmbH, einer deutschen Cybersicherheitsfirma. Das Problem wurde von Andreas Mayer gefunden, der für uns als Freelancer arbeitet. Die Stellungnahme kann von der Presse zitiert werden. Wenn Sie Fragen haben, kontaktieren Sie mich bitte über Twitter.Markus Fenske, exablue (Deutsch von Michael Heinbockel)
Laut einer dpa Meldung vom 25.02.2020 behauptete Paypal, dass das Problem nunmehr behoben sei. Der Test erfolgte prompt:
Paypals Verhalten in dieser Sache als fahrlässig zu bezeichnen, trifft den Punkt wohl nicht unbedingt ganz. Bleibt zu hoffen, dass der gesunde Menschenverstand des geneigten Lesers ausreicht, um zu wissen, was zu tun ist. Und was nicht. Ich wiederhole: Und was nicht.
Kategorie: Sonstige IT