Mit dem Smartphone oder mit Smartwatch bezahlen: Mittlerweile machen das viele Menschen gerne – denn es ist bequem, einfach und bietet eine Menge Vorteioe. Auch für Händler und Zahlungsempänger. Normalerweise ist Mobile Payment sehr sicher. Doch aktuell gibt es Probleme bei Google Pay mit PayPal.
Mobile Payment ist eine feine Sache – wenn man ’s mag. Ob kleine oder große Beträge: Einfach Smartphone zücken, Kredit- oder EC-Karte auswählen, ans Terminal halten – fertig. Selbst die PIN-Eingabe entfällt, weil das Smartphone ja ohnehin abgesichert ist.
Auch mit der Apple Watch kann man auf diese Weise bequem bezahlen. Das geht schneller als Bargeld und auch schneller als mit einer Plastikarte. Außerdem fließen praktisch keine Daten an den jeweiligen Händler. Feine Sache also.
Unautorisierte Abbuchungen – teilweise 4-stellig
Derzeit werden Mobile-Payment-Fans aber aufgeschreckt: Viele haben unautorisierte Belastungen erhalten. Von einem Kaufhaus „Target“ aus den USA – oder von Händlern mit Quatschnamen.
Viele Belastungen drei-, manche sogar vierstellig. Das Problem: PayPal erzeugt – wie auch andere Banken – virtuelle Kreditkarten. Allerdings macht es PayPal Betrügern sehr einfach: Die Kreditkartendaten sind leicht zu erraten. Und: PayPal überprüft keine zusätzlichen Daten wie CVC (Kontrollcode), Ablaufdatum, Name oder Sicherheitscode neben dem Unterschriftfeld. Das öffnet Betrügern Tür und Tor.
Allerdings gibt es das Problem nur in Kombination Google Pay und PayPal. Was noch bedenklicher ist: Das Leck ist seit über einem Jahr bekannt. Ein deutscher Entwickler hat das Problem gefunden, es bei PayPal gemeldet und dafür sogar eine Prämie (Bug Bounty) erhalten – aber geschlossen wurde das Leck offensichtlich bis heute nicht.
Markus Fenske, CEO beim Sicherheitsunternehmen exablue, dessen Mitarbeiter Andreas Mayer die Lücke vor einem Jahr entdeckt hat, beschreibt den so genannten Angriffsvektor auf Twitter so:
Um NFC-Zahlungen zu ermöglichen, generiert die PayPal-App eine virtuelle Kreditkarte. Anders als bei anderen Anbietern kann über diese Karte aber nicht nur eine Zahlung im Einzelhandel autorisiert werden, sondern auch eine Zahlung im Online-Handel. Und in diesem Fall verlangt PayPal lediglich nach Angabe der Kartennummer sowie des Ablaufdatums.
Sicherheit muss unbedingt besser werden
Zwar können sich betroffene Kunden an PayPal wenden und bekommen ihr Geld zurück. Doch ist das trotzdem kein Zustand: In einem sensiblen Bereich wie Mobile Payment derart fahrlässig und nachlässig zu sein, ist unentschuldbar. Sicherheitsexperte Jan Felix Wiebe kritisiert PayPal für diese Schlampigkeit in einem Interview (siehe Video). Zu Recht. Denn spätestens, wenn ein Leck bekannt ist, sollte es doch schleunigst geschlossen werden.
Natürlich hätte auch Google Pay reagieren und PayPal zeitweise ausschließen können. Das alles lässt den Eindruck entstehen, dass Mobile Payment unsicher sei. Normalerweise ist das nicht der Fall. Mobile Payment liefert den Händlern zum Beispiel weniger Daten als bei einer Zahlung mit Kreditkarte. Vor allem Apple Pay macht hier einen guten Job. Und weil Apple auch keine Geschäfte mit Nutzerdaten macht, scheint es derzeit das überlegene Payment-Verfahren zu sein.
Wie wär’s mit einer Art TÜV für Zahlungsdienste? Verbockt ein Anbieter relevante Sicherheitsaspekte auf eklatante Weise – wie im aktuellen Fall -, sollten hohe Strafen drohen. Oder Entzug der Lizenz für einige Wochen. Wenn derartiges droht, würden sich die Anbieter mehr anstrengen.
[av_video src=’https://vimeo.com/394434077′ mobile_image=“ attachment=“ attachment_size=“ format=’16-9′ width=’16‘ height=’9′ conditional_play=“ av_uid=’av-588esct‘]