Es gibt wohl eine Sicherheitslücke bei Paypal, bei der man über die bei Google Pay virtuell hinterlegten Kreditkarten bezahlen kann. Doch worum geht es genau? Es gibt einige Nutzer von Google Pay aus den USA, die sich in den letzten Tagen über Abbuchungen beschwert, die sie selbst nicht getätigt haben. Alle betroffenen Nutzer haben im Google Pay-Zahldienst über Paypal eine virtuelle Kreditkarte hinterlegt. Dies ist bisher die einzige Möglichkeit mit diesem Dienst kontaktlos zu bezahlen, falls die eigene Bank noch nicht mit dem Bezahl Dienst zusammen arbeitet.
Sicherheitslücke seit 1 Jahr bekannt
Da ja in diesem Fall keine reale Kredit- oder Bankkarte bei Google hinterlegt ist, wird hier über Paypal eine virtuelle Karte angelegt und gespeichert. Die Sicherheitslücke um die es hier geht, ist eigentlich schon seit Anfang 2019 bekannt und wurde damals auch an Paypal mitgeteilt. Doch wie es scheint, wurde diese Sicherheitslücke bisher nicht geschlossen.
Doch wie kann die Sicherheitslücke genau ausgenutzt werden? Um zunächst erst Mal an die virtuelle Kreditkarten-Nummer von Paypal zu kommen benötigt man nur ein NFC-fähiges Smartphone sowie eine eine App mit der man die Daten auslesen kann. Diese erhält man sogar kostenlos im Google Play Store. Um die Lücke auszunutzen, muss natürlich Paypal als Standard Zahlungsmittel in der Google Pay-App angelegt sein. Mit dieser schnell vorhandenen Ausstattung muss man sich nun dem “Opfer” Smartphone auf relativ kurze Distanz nähern. Um die Daten auslesen zu können muss das Display des “Opfer” Smartphones nur kurz eingeschaltet sein. Es muss hier nicht ein Mal die Google Pay App für gestartet werden.
Mit Google Pay Kreditkarten einkaufen
So erhält man die dort hinterlegte virtuelle Kartennummer sowie das Ablaufdatum. Mit diesen Angaben und einem zufällig gewählten CVC-Code (z.B. 000) kann man nun diese Daten verwenden um mit der virtuellen Kreditkarte einer anderen Person zu bezahlen. Eine einfache aber effektive Möglichkeit sich die Daten andere Nutzer zu besorgen. Das schlimmste an der ganzen Sache ist natürlich, dass Paypal die Lücke schon seit 1 Jahr bekannt ist, aber diese noch nicht geschlossen wurde.
So lange diese Sicherheitslücke nicht geschlossen ist, sollten alle Nutzer die ihr Paypal Konto mit Google Pay verbunden haben am besten die Zahlungsfunktion aus der App nehmen, falls sie sich zu unsicher sind. Wir halten euch natürlich auf dem Laufenden, sobald es hier Neuigkeiten gibt.
[…] einem gestrigen Beitrag berichteten wir noch über eine Sicherheitslücke von virtuellen Paypal Kreditkarten bei Google Pay. Heute […]