Das Problem könnten erbeutete virtuelle Kreditkartendaten sein

Paypal stoppt dubiose Abbuchungen über Google Pay

Donnerstag, 27. Februar 2020 | 12:46 Uhr

Bei zahlreichen Google-Pay-Nutzern mit verknüpftem Paypal-Konto ist es zuletzt zu unberechtigten Abbuchungen gekommen. Potenziell Betroffene sollten daher ihren Paypal-Zahlungsverlauf kritisch prüfen, rät das Portal “Heise Online”, das ebenso wie andere Fachmedien zuerst über die Probleme berichtet hatte.

Paypal hat die Vorfälle bestätigt und das Abbuchungsproblem eigenen Angaben zufolge inzwischen behoben. “Gemäß unserer Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten”, hieß es in einer Stellungnahme des Bezahldienstes.

Keine persönlichen Daten gestohlen

Es seien weder persönlichen Daten oder Finanzinformationen von Paypal-Kunden gestohlen worden, noch hätten Dritte Zugriff auf PayPal-Konten gehabt, so das Unternehmen weiter. Ihre Konto-Zugangsdaten müssen Nutzer also nicht zwingend ändern. Angaben zur Ursache des Problems machte Paypal zunächst nicht.

Die Abbuchungen gingen “Heise Online” zufolge überwiegend auf Starbucks- und Target-Filialen in den USA zurück. In den Nutzerforen von Google Pay und Paypal seien aber auch Beschwerden von Nutzerinnen und Nutzern aufgetaucht, die dubiose Abbuchungen von Empfängern mit Nonsensnamen wie “IWCWJQAUNHKLALD FUQNI” oder “MAILED IT” beklagen.

Ein- bis vierstellige Beträge weg

Die abgebuchten Summen variieren den Angaben zufolge stark: Nutzerinnen und Nutzer würden ein-, aber auch bis zu vierstellige Euro-Beträge nennen. Um die unberechtigten Abbuchungen stornieren zu lassen, sei etwa die telefonische Kontaktaufnahme mit Paypal am effektivsten, erklären die Experten. Wie das am besten klappt, erkläre ein Community-Beitrag von Paypal detailliert.

Der IT-Sicherheitsexperte Markus Fenske will nicht ausreichend gesicherte Kreditkartendaten als Ursache für die unberechtigen Abbuchungen ausgemacht haben. Er geht davon aus, dass Paypal eine virtuelle Kreditkarte mit Kartennummer, Ablaufdatum und Card Validation Code (CVC) erstellt, sobald jemand sein Paypal-Konto mit Google Pay verbindet.

Diese Daten könnten von Angreifern auf bislang unbekannte Art erbeutet, vielleicht erraten und für die unberechtigten Abbuchungen missbraucht worden sein. Auf Twitter schreibt Fenskes IT-Firma IBlue, Paypal schon vor einem Jahr auf die Sicherheitsproblematik virtueller Kreditkartendaten im Zusammenspiel mit Googles kontaktlosem Smartphone-Bezahldienst Pay hingewiesen zu haben.

Von: APA/dpa