Ärger über Sicherheitsproblem PayPal sagt nicht, wie es zu dubiosen Abbuchungen kam

PayPal-Nutzer aus Deutschland berichteten kürzlich von seltsamen Abbuchungen in oft dreistelliger Höhe. Was genau dahinter steckte, ist noch immer unklar - auch weil PayPal mauert, statt aufzuklären.
Foto: Yichuan Cao/ NurPhoto/ Getty Images

Was würden Sie tun, wenn über einen populären Zahlungsdienstleister plötzlich dreistellige Beträge von Ihrem Bankkonto abgebucht werden? Auch wenn Ihnen das Geld danach im Zuge öffentlicher Aufregung zurückerstattet wird - wäre Ihr Vertrauen in den Anbieter noch da? Würden Sie den Dienst danach weiternutzen, als wäre nichts geschehen?

Solche Fragen plagen derzeit manche Kunden des Bezahldienstes PayPal. Einigen Nutzern aus Deutschland, die den Dienst mit Google Pay verbunden hatten, sahen sich aus dem Nichts mit teils hohen Abbuchungen konfrontiert, die mit Empfängernamen wie "Target T-1401", "Target T-1150" oder "Target T-2132" in ihren PayPal-Konten auftauchten. Sie deuteten auf Target hin, eine US-Einzelhandelskette, mit der die große Mehrheit der Kunden offenbar niemals zu tun hatte. Die Verbindung von PayPal und Google Pay ermöglicht es Nutzern zum Beispiel in Supermärkten kontaktlos bezahlen zu können . Die Zahlungen werden dabei per Near Field Communication (NFC) abgewickelt.

Wie es nun zu den Abbuchungen kam, war unklar - lediglich eine Spekulation des deutschen Sicherheitsexperten Markus Fenske machte die Runde. Fenske vermutete einen Zusammenhang mit einer Schwachstelle des PayPal-Systems, die er dem Unternehmen nach eigenen Angaben bereits vor einem Jahr gemeldet hatte. PayPal habe ihm für den Hinweis nach anfänglichem Kleinreden des Problems auch eine Belohnung gezahlt, berichtet Fenske dem SPIEGEL. Wirklich geschlossen wurde die Schwachstelle ihm zufolge aber nicht.

Google verweist nur weiter

PayPal selbst teilte nach den ersten Presseberichten über die dubiosen Abbuchungen zunächst mit, das Problem werde untersucht. Am Dienstag hieß es dann auf SPIEGEL-Anfrage, es sei "inzwischen behoben", betroffen gewesen sei "eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen". Gemäß der Nutzungsrichtlinie werde man betroffenen Kunden "sämtliche nicht autorisierte Zahlungen zurückerstatten".

Google als Anbieter von Google Pay verweist nach wie vor darauf, bei Detailfragen zum Thema solle man sich an PayPal wenden. Das Unternehmen hatte zuvor betont, dass es die "Frustration von Nutzern, die ungewöhnliche Aktivitäten auf ihren Accounts bemerkt haben", verstehe und dass Google es "begrüße, dass PayPal schnell gehandelt hat, um das Problem zu lösen".

Schwamm drüber also?

"Sehr gering" ist relativ

Die von dem Problem betroffenen Kunden dürften das anders sehen. Für sie bedeuten die Vorfälle einen Vertrauensverlust in die Anbieter, zumal manche Kunden angaben, sich von PayPals Kundenservice nicht ausreichend unterstützt und informiert gefühlt zu haben.

"Ich würde schon gern genauer wissen, was da schief gelaufen ist", sagt Sven Schuhen, ein PayPal-Nutzer, der um rund 560 Euro bangen musste. Am Montag hat Schuhen eine Facebook-Gruppe gegründet, in der er sich mit Dutzenden weiteren Betroffenen austauscht. "Ich selbst werde jetzt erstmal sowohl von PayPal, als auch Google Pay Abstand nehmen", sagt er dem SPIEGEL.

Wie viele Kunden genau die Abbuchungen in Unruhe versetzt haben, ist unbekannt - und schwer abzuschätzen. Denn was bedeutet die Formulierung "eine sehr geringe Anzahl", wenn PayPal angibt, in Deutschland 23 Millionen Kunden zu haben? Geht es um Hunderte Fälle, um Tausende oder mehr? Auf SPIEGEL-Nachfrage will PayPal nicht einmal eine solche Größenordnung nennen. Ebenso liefert das Unternehmen auch auf Nachfrage keine Erklärung zu den technischen Hintergründen.

Sicherheitsstandards aus den Neunzigerjahren?

Sicherheitsexperte Markus Fenske geht noch immer davon aus, dass die Abbuchungen mit virtuellen Kreditkarten in Zusammenhang stehen, die PayPal automatisch erstellt, wenn ein Account mit Google Pay verbunden wird. Aus diesem Bereich stammt auch die Lücke, die Fenske PayPal bereits Anfang 2019 gemeldet hatte.

Im Gespräch mit dem Fachmagazin "Heise Security"  sagte Fenske diese Woche, sein Team und er hätten mittlerweile herausgefunden, dass bei jenen virtuellen Kreditkarten, "die PayPal zum Zwecke der Zahlungsabwicklung bereitstellt, außer der Kartennummer keine Parameter geprüft" würden. Die Struktur der Nummern  ermögliche es, dass Hacker sie durch Ausprobieren erraten können. Fenskes Schätzung zufolge dürften rund 100 Versuche reichen, damit man eine gültige Kreditkartennummer generiert, "mit der man beliebig Geld von einem zufälligen PayPal-Account einziehen" könne.

Der SPIEGEL hat PayPal auf den "Heise Security"-Artikel angesprochen, daraufhin schreibt das Unternehmen: "Es gibt keine Hinweise darauf, dass ein Zusammenhang zwischen den Aussagen von Herrn Fenske und den nicht autorisierten Zahlungen besteht, von denen deutsche PayPal-Kunden betroffen waren, die PayPal in Google Pay nutzen."

Markus Fenske antwortet darauf, natürlich könne er nicht ausschließen, dass eine andere Sicherheitslücke ausgenutzt wurde: Er und sein Kollege Andreas Mayer würden dies aber "für eher unwahrscheinlich" halten. Der Weg, den er skizziert habe, passe gut zu den aktuellen Fällen, denn Angreifer müssten dabei die Nummern virtueller Kreditkarten nicht mühsam per NFC in der Nähe der Opfer auslesen. Sie könnten die Konten bequem vom heimischen PC aus plündern, indem sie Nummern erraten.

Die vom ihm beanstandete Lücke mit den virtuellen Karten sei noch immer nicht final geschlossen, sagt Fenske. Noch an diesem Donnerstag habe sein Kollege Mayer weiter mit einer virtuellen Kreditkarte bei Amazon bezahlen können, deren Nummer bekannt war, da er sie selbst per NFC ausgelesen hatte. Hätte PayPal die Lücke bereits vollständig geschlossen, hätte eine solche Online-Zahlung nicht möglich sein dürfen, so Fenske. Eine Spende von einem Euro an Wikimedia allerdings sei bei mehreren Versuchen fehlgeschlagen. "Es wird also mittlerweile zumindest an dem Problem gearbeitet", folgert Fenske daraus.

Der aus seiner Sicht effektivste Schritt wäre es, einfach Online-Zahlungen mit den virtuellen Kreditkarten zu verbieten, so Fenske zum SPIEGEL - so wie dies andere Anbieter auch tun. Die Karten würden ja fürs kontaktlose Zahlungen herausgegeben und sollten dementsprechend auch nur dafür benutzt werden dürfen.

Wie es auch war, es gab ein Problem

PayPal lassen die dubiosen Abbuchungen nicht gut dastehen, was auch immer tatsächlich passiert sein mag. Wurde letztlich doch die von Markus Fenske gemeldete Lücke ausgenutzt? Dann bliebe die Frage, warum ein so großes Unternehmen, dem Nutzer ihr Geld anvertrauen, eine ihm gemeldete Schwachstelle nicht angeht. Und selbst wenn Fenskes Entdeckung nicht die passende Erklärung ist, wie es PayPals Stellungnahme nahelegt, müsste es ja immer noch ein anderes, weiteres Sicherheitsproblem gegeben haben. Das wäre nicht weniger beunruhigend, vor allem, solange PayPal sich weigert, Details zu dessen Art und Dimension zu nennen.

Immerhin: Auf die SPIEGEL-Frage, ob PayPal betroffenen Kunden die dubiosen Abbuchungen von sich aus zurücküberweise - auch wenn sie diese bislang zum Beispiel nicht bemerkt haben - schreibt das Unternehmen: "Wir werden betroffenen Kunden die nicht autorisierten Zahlungen automatisch zurückerstatten." Möchte ein Kunde zusätzlich selbst aktiv werden, teilt PayPal noch mit, so könne er "die nicht autorisierten Zahlungen wie in diesem Hilfe-Artikel  beschrieben melden".

Sven Schuhen hat das bei ihm zu Unrecht abgebuchte Geld von PayPal mittlerweile vollständig auf sein Konto zurücküberwiesen bekommen. Für den Stress, den der Betrugsversuch bei ihm und anderen Nutzern auslöste, fände er grundsätzlich auch eine Entschädigung des Unternehmens angemessen, sagt Schuhen - und sei es als symbolische Geste.

PayPal scheint das nicht für nötig zu halten. Auf die Frage, ob betroffene Kunden irgendeine Entschädigung oder Entschuldigung über die Rückbuchung des abgezogenen Geldes hinaus erwarten könnten, antwortet das Unternehmen: "Gemäß der PayPal-Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten."

Die Wiedergabe wurde unterbrochen.