Uns erreichte ein Tipp zu einer Sicherheitslücke bei PayPal, welche bereits im Februar 2019 vom Cybersicherheitsexperten Andreas Mayer entdeckt wurde. Möglicherweise zeichnet sich nämlich genau diese verantwortlich für die unautorisierten Abbuchungen in Verbindung mit Google Pay. Die Lücke setzt jedoch einen einmaligen physischen Zugriff auf Smartphones der Betroffenen voraus, ähnlich wie man das auch vom klassischen Ausnutzen der kontaktlosen Zahlung bei physischer Karte kennt:

PayPal benutzt für kontaktlose Zahlungen über GPay eine virtuelle Kreditkarte. Diese kann aus dem Handy mit jeder beliebigen Cardreader-App ausgelesen werden, solange der Bildschirm des Handys an ist.

Anmerkung Caschys Blog: Vorausgestzt natürlich, PayPal ist als Standardzahlungsmethode in Google Pay hinterlegt.

Die ausgelesene Karte lässt sich dann auch für Online-Transaktionen nutzen – ganz ohne Prüfung des CVC-Codes.

Jeder, der an dem Handy des Opfers vorbei geht (Bildschirm muss an sein, was in der Hosentasche leicht passiert), hat eine vollwertige virtuelle Kreditkarte ausgelesen und kann sich damit, auch Monate später, am PayPal-Account des Opfers bedienen. Das wird jetzt gerade von der organisierten Kriminalität ausgenutzt

Die entsprechende Lücke habe man bereits über das Bug-Bounty-Programm an PayPal gemeldet und auch eine Belohnung erhalten. Doch die Lücke wurde augenscheinlich jedoch nie behoben.

Yes. The other cards/services we tried only accept POS transactions. They cannot be used for online payment. PayPal's issues (as of Feb '19): – allows online payments

– any CVC is allowed Not sure what or if they fixed anything. They did not respond. May check later. — iblue (@iblueconnection) February 24, 2020

Als Empfehlung rät Markus Fenske, Geschäftsführer der exablue GmbH, die virtuelle Karte, die PayPal für Google Pay generiert, vorsorglich aus eurem Account zu entfernen. Hilft natürlich nur, wenn eure Karte nicht bereits ausgelesen wurde.

Klingt nach einer potenziellen Erklärung der zahlreichen Abbuchungen, für die PayPal bisher bekanntlich nur ein sehr dünnes Statement herausgab. Würde zusätzlich auch erklären, weshalb keinerlei 2-Faktor-Authentifizierung gegriffen hat. Den Kreis der Betroffenen dürfte dies jedoch einschränken, denn fürs Auslesen der Karte ist der erwähnte einmalige, physische Zugriff notwendig.

Ich habe mich da natürlich selbst dran gemacht und kann vorangegangenes bestätigen: Eine einfache Android-App genügt, um über NFC die Kartennummer und das Ablaufdatum auszulesen. Zum Test hinterlegte ich die ausgelesene Karte mal in Google Pay mittels beliebiger CVC (000), die Karte wurde umgehend für Online-Zahlungen akzeptiert.