Google-Pay Sicherheitslücke in Zusammenhang mit Paypal

tobias · 25. Februar 2020 um 13:00

Wahrscheinlich habt Ihr es schon durch die zahlreichen Nachrichten mitbekommen, hier aber ein etwas differenzierter Blick auf die Ganze Sache.

Hier mehr:
https://twitter.com/iblueconnection/status/1231962017734516741

ColaMarkus · 25. Februar 2020 um 13:08

Und was genau hat die ganze Sache jetzt mit Google Pay zu tun? Immerhin treten diese Probleme ja nur bei Usern auf, die PayPal in Google Pay hinterlegt haben (und selbst dann nicht bei jedem; bei mir z. B. nämlich nicht). Handelt sich also hier mit ziemlicher Sicherheit um ein PayPal-Problem. Insbesondere wird das durch die Tatsache bekräftigt, dass PayPal bereits im Frühling 2019 über eine massive Sicherheitslücke informiert wurde, mit der man die Kartendaten der virtuellen PayPal-Kreditkarte aus Google Pay inklusive Ablaufdatum auslesen konnte. Der eingegebene CVC war übrigens egal, da wohl jede x-beliebige 3-stellige Zahlenkombination funktioniert hat. PayPal selbst hat den Entdecker dieses Bugs lediglich aufgrund ihres Bug Bounty-Programms mit einer Prämienauszahlung belohnt - gefixt wurde er allerdings bis heute nie und ist er wohl auch immer noch nicht…

Quelle:

tobias · 25. Februar 2020 um 13:11

„Google-Pay Sicherheitslücke in Zusammenhang mit Paypal“ ist der Titel, damit spreche ich also den Zusammenhang zwischen Paypal und Google Pay an.

[…]die Angreifer die Kreditkartennummern schlicht geraten haben. Die ersten acht Stellen sind bei allen virtuellen Karten gleich, die letzte Ziffer ist eine Prüfziffer, daher bleiben sieben Stellen übrig. Dazu kommen 17 mögliche Ablaufdaten, da es das System noch nicht allzu lange gibt.

Insgesamt gibt es damit 170 Millionen mögliche Kombinationen von Kreditkartennummern und Ablaufdaten. Wie wahrscheinlich ein Raten von gültigen Nummern ist, hängt davon ab, wie viele Nutzer insgesamt die Kombination von Google Pay und Paypal nutzen, es erscheint aber durchaus plausibel.[…]

Quelle: Golem.de: IT-News für Profis

Frnk · 25. Februar 2020 um 13:18

Paypal bietet die betroffene virtuelle Karte unabhängig von Google Pay nicht an. Es betrifft nur Paypal-Kunden, das Paypal-Konto in Google Pay hinzugefügt haben.

(Man könnte jetzt noch tiefer in die Materie einsteigen und argumentieren, dass Google Pay das auslesen der Daten über NFC etwas leichter macht als z.B. Apple Pay, aber das tut hier nichts zur Sache, denn die Schlamper sind hier eindeutig Paypal, und davon wollen wir jetzt nicht ablenken.)

iedle · 25. Februar 2020 um 16:12

Das Apple grundsätzlich mehr Aufwand und Entwicklungszeit in Datenschutz und Sicherheit steckt ist ja auch kein Geheimnis. Auf einem Android Handy würde ich auch von Online Banking generell Abstand nehmen ganz zu schweigen von NFC-Zahlungen.