Google Pay: PayPal-Kunden melden Abzocke
Zig Nutzer von Google Pay reklamieren nicht nachvollziehbare PayPal-Abbuchungen in Höhe von bis zu 1000 Euro. Wer oder was dahintersteckt, ist unklar.
Das Wichtigste in Kürze
- Google Pay lässt sich mit dem Bezahldienst PayPal verknüpfen.
- Zurzeit melden viele Menschen, dass ihnen fälschlicherweise Beträge abgebucht werden.
- Wer oder was dahintersteckt, ist noch ungeklärt.
Die Bezahldienste Google Pay und PayPal lassen sich verknüpfen. Doch sollte momentan darauf verzichtet werden.
So berichten zahlreiche deutsche Kunden, dass ihnen nicht nachvollziehbare Beträge via Google Pay abgebucht worden sind, woraufhin selbiger Betrag im verknüpften PayPal-Konto fehlte. Der Verlust beläuft sich je nach Fall auf bis zu 1000 Euro.
In manchen Fällen wurde laut einem Bericht des Fachportals «Golem» jedoch auch nur ein Cent abgebucht. Solch geringe Beträge werden oftmals abgehoben, wenn getestet wird, ob ein Konto überhaupt belastet werden kann.
Google verweist bei der Problematik auf PayPal. Der Suchmaschinen-Anbieter selber könne auf die Abbuchungen nicht Einfluss nehmen – teilweise habe der Konzern nicht einmal Einsicht in den Zahlungsverlauf.
Strippenzieher unbekannt
PayPal sagt, dass die Abbuchungen nicht vermieden werden können. Nachdem sie vonstattengegangen sind, liessen sie sich jedoch rückgängig machen. Dafür müsse das Geld aber zunächst abgezogen worden sein.
Nach aktuellem Kenntnisstand wurden die Abbuchungen von verschiedenen Target- und Starbucks-Filialen aus den USA gemacht. Wer genau hinter diesem offenbar betrügerischen Vorgehen steckt, ist unklar. Dass die Unternehmen die Buchungen selbst auslösten, ist unwahrscheinlich.
Probleme sind PayPal schon länger bekannt
Markus Fenske von der Sicherheitsfirma Exablue wurde bereits im Februar 2019 auf mehrere PayPal-Schwachstellen aufmerksam. So könne ein Angreifer die Kreditkartennummer eines Opfers via NFC auslesen und daraufhin problemlos Online-Zahlungen tätigen. Name und CVC würden nicht abgefragt, hält der Fachmann gegenüber «Golem» fest.
Es sei aber auch denkbar, dass die Kreditkartennummern in den aktuellen Fällen schlicht und einfach geraten wurden. Denn: Die ersten acht Stellen sind bei allen virtuellen Kreditkarten identisch. Die letzte Ziffer ist eine Prüfziffer, wodurch sieben Stellen übrigbleiben. Ablaufdaten gebe es nur 17, da es sich um ein relativ neues Bezahlsystem handelt.
Nachdem Fenske PayPal auf den Missstand aufmerksam machte und auf eine Belohnung im Rahmen des Bug-Bounty-Programms hoffte, winkte Paypal zunächst ab: Es handle sich um gar keine Sicherheitslücke.
Erst nachdem Fenske insistierte und einen Videobeweis nachgeliefert hatte, erhielt er eine Belohnung von 4400 Dollar. Geschlossen hat Paypal die Sicherheitslücken jedoch bis heute nicht.