SECURITY25. Februar 2020

Google Pay und Paypal: Sicherheitsproblem war schon seit 2019 bekannt

bigtunaonline/bigstock.com

Eine gravierende Sicherheitslücke bei Paypal, die Kunden mit der virtuellen Kreditkarte betrifft, die es speziell für die Nutzung von Google Pay gibt, sorgt dieser Tage für Schlagzeilen. Das Perfide dabei: Die Sicherheitslücke ist möglicherweise schon seit rund einem Jahr bekannt, wurde aber offenbar bis heute nicht geschlossen. 

Google Pay und Paypal, das war schon kurz nach dem Start des kontaktlosen Bezahlverfahrens auf Smartphone-Basis eine gute Kombination für all jene Kunden, deren Bank Google Pay nicht unterstützen wird. Paypal-Kunden bekommen so auf Basis einer virtuellen Kreditkarte, die sich in Google Pay einbinden lässt, dennoch die Möglichkeit, den Dienst zu nutzen.

Jetzt berichten seit einigen Tagen Medien über unberechtigte Abbuchungen einiger Nutzer, die alle nach einem ähnlichen Muster ablaufen. Es handelt sich in allen derzeit bekannten Fällen um Abbuchungen aus den USA, die laut Forumsnutzern (hier und hier) in den meisten Fällen Filialen einer US-Handelskette namens Target zugeordnet werden. Auch lange, keinen Sinn ergebende Buchstabenketten finden sich als Verwendungszweck der Buchung. Wohl gemerkt: Bei Target wurde offenbar nur eingekauft, die Daten könnten also auch via Darknet an Dritte verkauft worden sein, sodass es mit höchster Wahrscheinlichkeit keinen Zusammenhang mit Target-Angestellten gibt. Die Summen, die abgebucht wurden, variieren dabei stark – von kleinen, einstelligen Beträgen bis hin zu vierstelligen Beträgen.

Es kann sich also nicht nur um solche abgefischten Zahlungen unterhalb eines 25-Euro-Betrags handeln, die ohne Authentifizierung durch den Kunden möglich sind.”

Betroffen waren auch solche Kunden, die ihre Zwei-Faktor-Authentisierung ordnungsgemäß eingestellt hatten. Google selbst kann nach eigenen Angaben die veranlassten Buchungen gar nicht sehen und auch nicht rückabwickeln. Paypal wiederum, auf die Google verweist, schickt die Kunden nicht an die zuständigen Banken weiter, sondern storniert offenbar die betroffenen Buchungen von Kunden innerhalb von 24 Stunden, wenn’s gut läuft. Zudem raten beide beteiligten Unternehmen dazu, Anzeige bei der Polizei zu stellen, auch wenn das bei derart grenzüberschreitenden Geschäften eher eine Formsache sein dürfte als zur Aufklärung beitragen wird. Paypal kann außerhalb von Social Media per Telefon oder E-Mail kontaktiert werden.

Paypal-Sicherheitslücke: Das sind mögliche Schwachstellen

Paypal Office
Paypal

Doch das Phänomen ist offenbar zumindest einigen Experten – und angeblich auch Paypal – seit rund einem Jahr bekannt. Wie Golem berichtet, hat der IT-Sicherheitsexperte Markus Fenske von Exablue das Unternehmen Paypal bereits im vergangenen Jahr auf Sicherheitslücken hingewiesen. Zwei Schwachstellen sind es, die Google Pay in der hier beschriebenen Paypal-Variante in ihrer Kombination besonders angreifbar machen sollen: Zum einen ist die virtuelle Kreditkarte offenbar nicht nur für die Zahlung via NFC freigeschaltet, sondern auch für Onlinezahlungsvorgänge geöffnet – anders als laut Fenske bei anderen Anbietern. Zum anderen checkt Paypal bei der Abwicklung offenbar in diesem Fall weder den Namen noch die CVC-Prüfnummer gegen. Exablue will dies durch eine Testzahlung bewiesen haben.

Es gibt grundsätzlich zwei Möglichkeiten:

1. Variante 1: Die Daten könnten in Deutschland physisch eingesammelt worden sein, indem Angreifer die Kreditkartennummer und das Ablaufdatum mit einem beliebigen NFC-fähigen Gerät auslesen, wenn das Smartphone eingeschaltet und der Bildschirm freigeschaltet ist. Er muss dazu aber in direkter Nähe des Opfers sein.

Tobias Weidemann, IT Finanzmagazin
Tobias Weidemann ist Redakteur und Berater für Content, Kommunikation und digitale Ideen. Arbeitet für Redaktionen, Agenturen und Unternehmen zu Technik- und Wirtschaftsthemen. Interessiert sich für Trends in E-Commerce und Online-Marketing, digitaler Transformation und Industrie 4.0 sowie FinTech und Security. Ist als Netzjournalist in sozialen Netzen, auf Konferenzen und Barcamps unterwegs.
2. Variante 2: Laut Exablue könnten Angreifer aber auch die Daten aus einem vorgegebenen Zahlenraum geraten haben: Die ersten acht Stellen sind bei allen virtuellen Karten gleich, die letzte Ziffer ist eine Prüfziffer, sodass sieben Stellen übrig bleiben. Hinzu kommen 17 mögliche Ablaufdaten, da es das System noch nicht allzu lange gibt und die Karten alle in einem bestimmten Zeitraum ausgegeben wurden. Fenske hat errechnet, dass sich hieraus 170 Millionen Varianten ergeben – welche der beiden Varianten wahrscheinlicher ist, bleibt zu diskutieren, prinzipiell möglich wären aber beide.

Paypal-Lücke bis vor Kurzem weiterhin nutzbar

Bemerkenswert ist aber auch die Tat­sa­che, dass Ex­ab­lue er­klärt, man ha­be im Rah­men des Pay­pal-ei­ge­nen Bug-Boun­ty-Pro­gramms die Schwach­stel­le be­reits im Fe­bru­ar ver­gan­ge­nen Jah­res an Pay­pal ge­mel­det. Ex­ab­lue er­klärt, man ha­be die Si­cher­heits­lü­cke zu­nächst be­strit­ten und erst nach Vor­füh­rung in­ner­halb ei­nes Vi­de­os an Ex­ab­lue 4.400 US-Dol­lar Re­ward be­zahlt. Be­mer­kens­wert auch: Of­fen­bar funk­tio­nier­te die Si­cher­heits­lü­cke in die­ser Form auch noch nach Be­kannt­wer­den der ers­ten Fäl­le bis in die­ser Woche.

Wir haben dieses Problem im Februar 2019 über Hacker One an Paypal gemeldet. Nach einer anfänglichen Ablehnung und mehreren Diskussionen zahlte Paypal eine Fehlerprämie von 4.400 USD. Wir versuchten, mit Paypal in Kontakt zu bleiben, bis sie das Problem gelöst hatten, aber Paypal ignorierte unsere Anfragen größtenteils. Sie sagten uns im April 2019, wir sollten auf weitere Aktualisierungen warten. Das war ihre letzte Nachricht.“

Markus Fenske, Geschäftsführer Exablue

Wir haben bei Paypal nachgefragt und wollten vor allem wissen, warum die Sicherheitslücke überhaupt bestand und vor allem, warum sie nach deren Aufdeckung nicht schleunigst geschlossen wurde. Dies ist nämlich offenbar erst jetzt passiert, wie auch das Unternehmen einräumt (und laut Heise auch immer noch nicht wirklich erfolgreich geschlossen). Erklären, warum das so lange dauerte, will man nicht – und auch das Statement des Unternehmens fällt knapp und wenig erhellend aus. Zitieren lassen will sich damit freilich niemand persönlich – in einer kurzen Erklärung heißt es:

Wir haben uns unverzüglich der Behebung dieses Problems angenommen. Betroffen war eine sehr geringe Anzahl von Paypal-Kunden, die Google Pay nutzen. Das Problem wurde inzwischen behoben. Es wurden keine persönlichen Daten oder Finanzinformationen von Paypal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf Paypal-Konten.”

Schriftliches Statement von Paypal

Schon die Aussage „wir haben uns unverzüglich der Behebung dieses Problems angenommen“ ist bemerkenswert, wenn man bedenkt, dass durchaus offenbar erst kürzlich die genannten Zahlungen ausgeführt wurden, die Konten von Paypal-Kunden (wenn auch über den Umweg der virtuellen Debitcard) betrafen. Lediglich die Aussage „in den Bereichen Betrugsprävention und Risikomanagement setzt Paypal auf moderne Technologien, um seine Kunden zu schützen und sichere Zahlungen zu ermöglichen“ lässt sich unterschreiben: Denn die Sicherheitslücke, wenn sie in der durch Exablue geschilderten Form bestand, hat wenig mit modernsten und ausgefeiltesten Täuschungsstrategien zu tun, sondern ist IT-sicherheitstechnisches Grundlagenwissen, dessen Missachtung man gerade einem Weltkonzern mit Umsätzen in dieser Größenordnung nicht zugetraut hätte. tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert