• Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.

    Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
    Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.

    Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.

    User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.

Sicherheitslücke bei Google Pay & Paypal

ANZEIGE
G

graszitrone

Aktives Mitglied
15.01.2019
122
44
ANZEIGE
Es scheint wohl am Wochenende eine Sicherheitslücke bei Google Pay und den damit erzeugten virtuellen Kreditkarten aufgetreten zu sein.

https://stadt-bremerhaven.de/google-pay-virtuelle-paypal-kreditkarten-weisen-sicherheitsluecken-auf/

Bin zwar nicht betroffen, habe aber temporär die Verknüpfung von Google Pay mit Paypal deaktiviert und wüde es euch ebenfalls anraten. Ist im Paypal Konto unter "Einstellungen" -> "Sicherheit" -> "Aktivitäten" ganz einfach möglich.
 
  • Like
Reaktionen: Gagarin69 und allesmieter
T

TheReal

Aktives Mitglied
18.07.2018
142
5
Ich bin gespannt darauf was sich da letztlich wirklich zugetragen hat, falls wir das jemals erfahren sollten. Der Erklärungsversuch der verlinkten Seite mag zwar sinnig sein, ich halte ihn aber viel zu unmöglich für eine weitläufige Verbreitung. Denke fast eher an ein PayPal IT Problem, statt an Hacker.
 
U

unregistered

Erfahrenes Mitglied
24.04.2019
1.041
118
TheReal meinte:
Ich bin gespannt darauf was sich da letztlich wirklich zugetragen hat, falls wir das jemals erfahren sollten. Der Erklärungsversuch der verlinkten Seite mag zwar sinnig sein, ich halte ihn aber viel zu unmöglich für eine weitläufige Verbreitung. Denke fast eher an ein PayPal IT Problem, statt an Hacker.
Zum Vergrößern anklicken....

Naja, alles nichts neues. Dass man die virtuelle GPay-PayPal-Kreditkarte auslesen und mit jeder CVC benutzen kann, hat IIRC sogar hier jemand im Forum schon vor Monaten getestet und als möglich bestätigt. Da hat sich ja ohnehin jeder gewundert, wie genau PayPal denn da die Fraud-Protection nun ordentlich durchführen will. Möglicherweise lautet die Antwort daher: Gar nicht. ;-)
 
  • Like
Reaktionen: Gagarin69, penamba, Knight und eine andere Person
R

ReiseFrosch

Erfahrenes Mitglied
13.05.2017
1.818
100
Kann man denn grundsätzlich alle Karten aus G Pay auslesen? Warum werden die PayPal Karten anders als andere Karten behandelt?
 
M

Mr.Fly

Erfahrenes Mitglied
19.10.2019
328
95
ReiseFrosch meinte:
Kann man denn grundsätzlich alle Karten aus G Pay auslesen? Warum werden die PayPal Karten anders als andere Karten behandelt?
Zum Vergrößern anklicken....


Ich nehme an nein. Die meisten Karten werden ja nur mittels Zwei Faktor Authentifizierung zugefügt. Somit kann man selbst wenn man die Daten hat, diese nicht hinzufügen. CVC wird meines Wissens auch nicht mitgesendet bei NFC.
Warum Google allerdings bei Paypal eine Ausnahme macht? Ich vermute mal, weil sie es nicht anders konnten (Paypal) und man unbedingt einen Zahlungspartner wollte mit dem man anfangen kann, die Banken waren ja eher skeptisch aufgrund ihrer eigenen Lösungen..... (Stichwort: freie NFC Schnittstelle, es hat halt nicht nur Vorteile)
 
G

graszitrone

Aktives Mitglied
15.01.2019
122
44
berndy2001 meinte:
Auslesen ja (denke ich), aber laut dem Tweet sind bei der Paypal-Karte Card-not-present-Transaktionen erlaubt und weiters der CVV code nicht validiert.
Zum Vergrößern anklicken....

Höchstwahrscheinlich hat jemand den Generationsalgorithmus der virtuellen Kreditkartennummer geknackt
und ist dann fröhlich einkaufen gegangen da die CVV nicht im Store geprüft wird.
 
K

kmak

Erfahrenes Mitglied
12.03.2016
1.227
747
graszitrone meinte:
Höchstwahrscheinlich hat jemand den Generationsalgorithmus der virtuellen Kreditkartennummer geknackt
und ist dann fröhlich einkaufen gegangen da die CVV nicht im Store geprüft wird.
Zum Vergrößern anklicken....

Oder sind die Nummern gar fortlaufend (abgesehen von der Prüfziffer)?
 
R

Rince

Erfahrenes Mitglied
10.04.2016
756
360
ausbilderschmidt meinte:
Mit diesem Trick haben wir uns alle hier doch die Paypal-Karte bereits letztes Jahr hinter curve gelegt.
Zum Vergrößern anklicken....


Könnte da das Problem liegen? Nicht bei Curve aber am eigenen auslesen der Daten und die irgendwo anders zu benutzen. Letztlich bekommt ja ein Kassenterminal auch bei Gpay via Paypal auch nur einen Token übermittelt. Einzig andere Möglichkeit dürfte realistisch eine Lücke oder Problem bei Paypal sein.
 
R

Rince

Erfahrenes Mitglied
10.04.2016
756
360
https://twitter.com/iblueconnection/status/1232259071602044928
Instead, we assume they just guessed the card numbers, a technique called brute forcing.We found that the first eight digits (the bank identification number) of the virtual card is always the same, at least for the German accounts we tested. This leaves 7 digits to guess, since the last is just a check digit, calculated of the other 15 digits. The service launced in October 2018, allowing for 17 possible expiration dates. This makes 170 million possible cards. If we assume that 1 million users have enabled NFC payments in Germany, one in 170 guesses leads to a valid credit card.We reported this issue in February 2019 to PayPal via HackerOne. After an initial rejection and several discussions, PayPal paid a bug bounty of 4,400 USD. We tried to stay in contact with PayPal until they resolved the issue, however, PayPal mostly ignored our requests.
Zum Vergrößern anklicken....

Klingt nicht unlogisch und nach einem wirklich doofen Fehler da weder der Name noch die Prüfziffer kontrolliert wird.
 
U

unregistered

Erfahrenes Mitglied
24.04.2019
1.041
118
graszitrone meinte:
und ist dann fröhlich einkaufen gegangen da die CVV nicht im Store geprüft wird.
Zum Vergrößern anklicken....
Meinst du mit Store ein Geschäft? Das braucht man ja nicht. Online-Shopping reicht vollkommen. GPay hat damit nichts zu tun, es hängt damit zusammen, dass PayPal unzureichende Fraud-Protection bei ihren virtuellen Kreditkartennummern hat.

Wie schon erwähnt haben die Curve-Nutzer hier ihre virtuelle PayPal-Kreditkarte schon seit Monaten mit irgendeiner x-beliebigen CVV in Curve hinterlegt. Es reicht die Nummer. Die kann man auslesen (so wie hier schon vor Monaten geschehen) oder halt einfach raten, weil die BIN eh schon bekannt ist.

Dass das ein riesen Versäumnis von PayPal ist, haben hier schon vor Ewigkeiten Leute entdeckt. Wundert mich ein wenig, dass das jetzt plötzlich doch mal Thema wird. Alles ein saualter Hut. Zeigt nur wieder mal, wie schrecklich langsam diese ganzen Buden doch sind.
 
  • Like
Reaktionen: monk und bandito007
T

TheReal

Aktives Mitglied
18.07.2018
142
5
Die Nummer mit dem Brute-Forcen der Kartennummern wird es wohl tatsächlich gewesen sein. Echt unglaublichst dämlich von PayPal. Und dummerweise bekommen Mobile Payments deshalb jetzt einen schlechteren Ruf in Deutschland, obwohl das ganze damit ja eigentlich nichts zu tun hat.
 
  • Like
Reaktionen: HeGoHH, graszitrone und penamba
G

graszitrone

Aktives Mitglied
15.01.2019
122
44
unregistered meinte:
Meinst du mit Store ein Geschäft? Das braucht man ja nicht. Online-Shopping reicht vollkommen. GPay hat damit nichts zu tun, es hängt damit zusammen, dass PayPal unzureichende Fraud-Protection bei ihren virtuellen Kreditkartennummern hat.

Dass das ein riesen Versäumnis von PayPal ist, haben hier schon vor Ewigkeiten Leute entdeckt. Wundert mich ein wenig, dass das jetzt plötzlich doch mal Thema wird. Alles ein saualter Hut. Zeigt nur wieder mal, wie schrecklich langsam diese ganzen Buden doch sind.
Zum Vergrößern anklicken....
Ja, Geschäft. Die Täter sind wohl in den USA durch die Stadt gezogen und haben munter eingekauft (Target, Starbucks etc).

Finde es ebenso skandalös von Paypal und auch Google dass auf den gemeldeten Bug überhaupt nicht reagiert wurde. Seitens Paypal wurde einfach Kohle auf den Tisch gelegt und gehofft dass sich das Problem in Luft auflöst?

Das früher oder später andere die Schwachstelle ausnutzen und neben dem reellen Schaden zusätzlich ein Imageschaden entsteht ist doch wirklich abzusehen.

Naja jetzt haben sie den Salat.
 
Zuletzt bearbeitet:
Z

zednatix

Erfahrenes Mitglied
28.07.2019
2.048
1.429
Wozu legt man für die virtuelle Karte in PayPal ein PIN in der PayPal-App an, wenn die PIN nicht abgefragt wird?
 
P

penamba

Erfahrenes Mitglied
26.11.2015
788
81
zednatix meinte:
Ich dachte die PIN würde auch bei unnormalen Nutzerverhalten abgefragt werden oder von Zeit zu Zeit einfach so wie z.B. die TAN bei PSD2-Zugriff
Zum Vergrößern anklicken....

Meiner Erfahrung nach passiert das nicht.

Ab und zu wird bei Google Pay ein Entsperren des Displays gefordert, womit die Lösung auch PSD2-konform ist. (Gerät als Inhärenz- und PIN als Wissensfaktor.)
 
X

Xer0

Erfahrenes Mitglied
25.01.2018
1.648
53
HAJ
ReiseFrosch meinte:
Kann man denn grundsätzlich alle Karten aus G Pay auslesen?
Zum Vergrößern anklicken....
Ja

Risiko? 99,9% Nö. Weil diese Alias-Karte, vernünftig implementiert, nur POS und in-App erlaubt und zur Zahlungsfreigabe nur Token zulässt (Token ≠ Device Account Number). Außerdem wird eine richtige Bank den CVC bei Card-Present nicht einfach überspringen.

Ich bin aber zu faul, das Gegenteil zu testen (zB Amazon aufladen) und Sperren zu riskieren also - alle Angaben ohne Gewehr ;)
 
  • Like
Reaktionen: penamba
H

Holodoc79

Erfahrenes Mitglied
28.07.2014
627
149
Xer0 meinte:
Ja

Risiko? 99,9% Nö. Weil diese Alias-Karte, vernünftig implementiert, nur POS und in-App erlaubt und zur Zahlungsfreigabe nur Token zulässt (Token ≠ Device Account Number). Außerdem wird eine richtige Bank den CVC bei Card-Present nicht einfach überspringen.

Ich bin aber zu faul, das Gegenteil zu testen (zB Amazon aufladen) und Sperren zu riskieren also - alle Angaben ohne Gewehr ;)
Zum Vergrößern anklicken....

Zumindest kann man die Paypal-Karte auslesen und hinter Curve einsetzen. Zahlung geht damit problemlos, ATM nicht getestet.
 
P

penamba

Erfahrenes Mitglied
26.11.2015
788
81
Bei mir hat gerade eine Zahlung am POS problemlos funktioniert, in-app funktioniert (zumindest teilweise) auch.
 
Zuletzt bearbeitet:
Um antworten zu können musst
du eingeloggt sein.
Oben Unten