Benutzer Peterdoo schrieb:
Das wurde mal behauptet. Jedoch sagt der genannte Security-Experte, dass im Fall der PayPal Karte im GooglePay über NFC die Kartennummer übertragen wird.
Es wird die volle Kartennummer übertragen. Das ist auch kein Geheimnis und war schon seit Monaten in so ziemlich jedem Forum über Kreditkarten (z.b. bei Vielfliegertreff) bekannt. Zahlreiche PayPal-Nutzer haben mit ihren Handys die Nummer ausgelesen und sich so eine kostenlose, virtuelle Mastercard besorgt, die völlig unabhängig von GPay funktioniert hat. Die CVV wird nicht übermittelt, aber die hat PayPal auch nicht geprüft, genauso wenig wie den Namen. Da konnte man einfach immer irgendwas eintragen.
Alles nichts neues, schockierend ist nur, dass Paypal erst jetzt reagiert hat.
Ich sehe auf den ausgedruckten Belegen immer dieselbe Nummer. Wem man jetzt glauben soll?
Da dürfte eigentlich nur diesselbe BIN drauf stehen, die ändert sich bei PayPal nicht. Welches Geschäft druckt denn da angeblich die komplette KK ab? Das wäre schon aus Sicherheitsgründen überhaupt nicht zulässig, erst recht nicht mit CVV, die ist dem Non-Presence-Zahlungen vorbehalten.
Ist aber auch egal: Die restlichen Ziffern kann man berechnen bzw. auch brute-forcen. Die Wahrscheinlichkeit, dass das passiert ist, ist relativ hoch. Der Mißbrauch fand wohl auch von Orten statt, an dem die Opfer nie waren. Insofern ist das Aulesen mittels NFC nur eine Option und keine zwingende Option. Mit einem Crawler sich durch funktionierende Nummern raten geht auch. Dafür gibt es im Internet sogar spezielle (kriminelle) Tools zum Massen-Brute-Force.
Und: Der Token hat mit dem Angriff überhaupt nichts zu tun. Es geht um PayPal, nicht um GPay. Die Tatsache, dass PayPal diese virtuellen Kreditkarten halt für GPay nutzt und dort auch noch das Flag für die erzwungene Präsenz nicht richtig gesetzt hat, hat ihn nur schneller aufgedeckt - im Prinzip war das eine Woche nach der Einführung von PayPal jedem bekannt, der sein Handy mal mit einem NFC-Leser ausgelesen und die Nummer ausprobiert hatte.
Von daher ist der Punkt, wer betroffen ist/war, einfach zu beantworten: Alle, die PayPal bei GPay aktiviert hatten.