Google Pay-Nutzer: Fehlbuchungen über Paypal: Das Unternehmen schweigt zur Ursache
In der Bezahl-App von Google können Kunden auch ein Paypal-Konto hinterlegen.
Foto: MastercardFrankfurt. Beim Blick auf ihr Smartphone bekamen etliche deutsche Nutzer des Bezahldienstes Google Pay vor wenigen Tagen einen Schreck: Ihnen wurden Abbuchungen in Höhe von mehreren Hundert Euro angezeigt, die sie gar nicht in Auftrag gegeben hatten. Betroffen waren Kunden, die ihr Paypal-Konto mit Google Pay verknüpft haben. Die Ursache für diese Abbuchungen ist noch immer unklar. Vorwürfe eines Sicherheitsforschers bezüglich einer Sicherheitslücke streitet Paypal ab.
Bekannt wurden die Abbuchungen, da sich eine Reihe von Kunden auf den Online-Hilfeseiten von Paypal und Google Pay gemeldet hatten. Die fehlerhaften Transaktionen sollen am vergangenen Wochenende passiert sein. Am Dienstag erklärte Paypal, dass „das Problem“ behoben worden sei und nur „eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen“, betroffen waren. Betroffenen Kunden würden die nicht autorisierten Zahlungen automatisch zurückerstattet.
Über den Nachrichtendienst Twitter äußerte sich dann aber der Sicherheitsforscher Markus Fenske. Er vermutete hinter den Abbuchungen zunächst eine Sicherheitslücke, die er angeblich schon vor einem Jahr entdeckt und kurz darauf an Paypal gemeldet hatte. Später teilte er mit, dass das Problem noch gravierender sei.
Wie von ihm gemeldet, bestehe es zum einen darin, dass Paypal die Kartennummer der virtuellen Kreditkarte, die für das kontaktlose Bezahlen via NFC im Laden generiert wird, auch für Online-Zahlungen zulasse. Dabei würde Paypal keine weiteren Daten wie den Namen des Kreditkarteninhabers, Ablaufdatum und Prüfcode überprüfen. Die Folge: Die Eingabe einer korrekten Kreditkartennummer und beliebiger weiterer Daten genüge zum Auslösen einer Online-Transaktion.
Hinzu komme laut Fenske allerdings noch, dass eine gültige Kreditkartennummer der virtuellen Mastercard von Paypal durch häufiges Ausprobieren erraten werden könne – etwa hundert Versuche würden genügen. „Unseren Untersuchungen nach bestand das Problem zum Teil auch noch am Donnerstagnachmittag“, sagte Fenske dem Handelsblatt. Immerhin: Manche Transaktionen seien fehlgeschlagen. „Wir sehen das als Zeichen, dass zumindest an dem Problem gearbeitet wird“, so Fenske. Wie ein anderer Sicherheitsexperte dem Handelsblatt bestätigte, wäre ein solcher Fehler „als grob fahrlässig zu bewerten.“
Auf Anfrage des Handelsblatts teilte Paypal nun jedoch mit, dass es keine Hinweise darauf gebe, „dass ein Zusammenhang zwischen den Aussagen von Herrn Fenske und den nicht autorisierten Zahlungen besteht, von denen deutsche Paypal-Kunden betroffen waren, die Paypal in Google Pay nutzen“. Zu der tatsächlichen Ursache macht das Unternehmen allerdings keine Angabe. Nach Angaben von Google hat sich an der Zusammenarbeit mit Paypal zwischenzeitlich nichts geändert.
Seit Herbst 2018 in Deutschland verfügbar
Die Google-Pay-App ermöglicht das Bezahlen per Android-Smartphone an der Ladenkasse. Zudem kann man Google Pay auch mobil oder per Computer beim Online-Shopping verwendet werden. Gestartet ist Google Pay in Deutschland im Juni 2018, zu den ersten Kooperationspartnern gehörte die Commerzbank.
Seit Oktober 2018 können auch Paypal-Nutzer Google Pay verwenden. Eine solche Kooperation gibt es nur in Deutschland und den USA. All jene, die ein Android-Handy haben, können dabei ihr Paypal-Konto in der Google-Pay-App als Zahlungsmethode hinterlegen. Eingebunden in das Angebot ist auch der Kreditkartenanbieter Mastercard. Um Paypal in Google Pay nutzen zu können, wird das Paypal-Konto im Hintergrund mit einer sogenannten digitalen Debit-Mastercard verbunden. Diese dient dann in Google Pay als Zahlungsquelle.
Das Bezahlen per Smartphone steht in Deutschland noch ganz am Anfang. Statt zum Handy greifen die deutschen Verbraucher an der Ladenkasse sehr viel häufiger zur EC-Karte, die heute offiziell „Girocard“ heißt. Dabei nimmt besonders das kontaktlose Bezahlen zu, wobei man die Karte lediglich auf das Kassenterminal auflegen muss.
Auch Apple Pay kooperiert mit etlichen Banken, iPhone-Nutzer müssen dafür ihre Kreditkarte hinterlegen. Zudem haben beispielsweise die Deutsche Bank, die Sparkassen sowie die Volksbanken für Android-Smartphones eigene Bezahlangebote gestartet.