Google Pay: PayPal-Lücke doch noch nicht geschlossen?

Nutzer von Google Pay, welche die Bezahl-App mit ihrem PayPal-Konto verknüpft haben, berichteten von dubiosen, unautorisierten Abbuchungen. Der Bezahldienst PayPal hatte versichert, dass das Problem behoben sei (PCtipp berichtete).

Doch das scheint nicht der Fall zu sein, wie «Heise Online» vermeldet. Der Entdecker der Sicherheitslücke, der Sicherheitsforscher Markus Fenske aus Hannover, hat weitere Details veröffentlicht. Demnach ist die Sicherheitslücke sogar schlimmer, als er ursprünglich angenommen hat.

Gegenüber Heise hat Feske geäussert, dass bei den virtuellen Kreditkarten, die PayPal für die Zahlungsabwicklung bereitstellt, ausser der Kartennummer keine Parameter geprüft werden. Zuvor war man davon ausgegangen, dass zumindest das Ablaufdatum geprüft wird. Wie Fenske auf Twitter schreibt, benötigt man bei einer vollständig fehlenden Überprüfung ungefähr 100 Versuche, um eine gültige Kreditkartennummer zu generieren, die einem zufälligen PayPal-Account zugeordnet wird.

Fenske rät Nutzern, die von PayPal bei der Verknüpfung mit Google Pay erzeugte (virtuelle) Mastercard zu deaktivieren, damit via Google Pay keine Abbuchungen mehr vom PayPal-Konto möglich sind. Wie Sie dies ausführen, hat PayPal im Hilfe-Center erläutert. Loggen Sie sich bei PayPal ein und klicken Sie oben auf das Zahnrad-Symbol. Dann wählen Sie den Tab Zahlungen aus und klicken auf den Button Zahlungen im Einzugsverfahren (siehe Bild oben) verwalten. Hier kann man laut PayPal die «neueste aktive Abbuchungsvereinbarung von Google, Inc» stornieren (erst Kündigen, dann auf Automatische Zahlungen stornieren klicken).

Alternativ können Sie die über den Link genannte Support-Hotline anrufen, allerdings ist die genannte Nummer nur für Anrufer aus Deutschland gebührenfrei. Anrufer aus der Schweiz können PayPal über die Nummer +35314369414 kostenpflichtig kontaktieren.

Update 13:55 Uhr: PayPal sagt auf Anfrage zu PCtipp dazu: