Das Computermagazin c‘t macht in seiner aktuellen Ausgabe vom 27. September auf eine gravierende Sicherheitslücke im System des Bezahldienstes PayPal aufmerksam. Online-Betrügern wäre es möglich, mit gestohlenen Kreditkarteninformationen durch den Service problemlos bis zu 1500 Euro von fremden Konten abzuheben.
IMG Removed
Wie aus den Recherchen des Computermagazins „c't“ hervorgeht, klafft im System des Online-Bezahldienstes PayPal eine schwere Sicherheitslücke. In der aktuellen Ausgabe der Zeitschrift behauptet man, dass Betrüger mit gestohlenen Kreditkarteninformationen durch den Service problemlos bis zu 1500 Euro von fremden Konten abheben können. Denn genau diesen Betrag kann ein Nutzer maximal mit einer Kreditkarte ausgeben, deren Besitz er PayPal noch nicht nachgewiesen hat. Eine deutlich zu hoch angesetzte Grenze, „zumal doch deutsche Kreditinstitute durch das Geldwäschegesetz gezwungen sind, bei einer Kontoeröffnung die Identität des Kunden anhand eines Lichtbildausweises oder einer qualifizierten elektronischen Signatur zu überprüfen“ erklärt man im c’t Bericht.
Bei der Kontrolle, ob man tatsächlich der Besitzer der Karte ist, deren Daten man angegeben hat, überweist PayPal einen Geldbetrag an das entsprechende Konto. Diese Summe ist zufallsgeneriert und beläuft sich nur auf wenige Cents. Der ehrliche Inhaber der Karte kann auf seinem Kontoauszug den genauen Betrag einsehen, diesen in einem Onlineformular auf der PayPal-Seite eingeben und sich so verifizieren.
Ein Online-Betrüger, der lediglich über die Daten der Kreditkarte verfügt, kann diese Kontrolle selbstverständlich nicht passieren, aber bis zur 1500 Euro Grenze über das Geld des geprellten Besitzers verfügen.
Aufmerksam wurde man auf das Problem durch den Fall einer Frau, die im vergangenen Jahr Online-Betrügern zum Opfer fiel. 195 Euro wurden von ihrem Kreditkartenkonto wegen einer angeblichen PayPal Rechnung abgehoben und auf ein Konto in Rumänien überwiesen. Und das obwohl sie nie etwas mit dem Tochterunternehmen eBays zu tun hatte. Nach monatelangem Streiten mit den zuständigen Institutionen erstattete man ihr den entstandenen Schaden allerdings zurück. Sogar inklusive der Gebühr für die Beantragung einer neuen Kreditkarte.
PayPal reagierte bislang nicht auf die Veröffentlichung der Sicherheitslücke. Auch zu einem Statement gegenüber dem SPIEGEL erklärte man sich auf Nachfrage nicht bereit.
Quelle: Gulli