Kritische Sicherheitslücke bei Paypal entdeckt

Sicherheitslücken Die Computerzeitschrift 'ct' weist in einem Artikel der aktuellen Ausgabe auf eine kritische Sicherheitslücke beim Online-Bezahldienst Paypal hin. Betrüger könnten demnach 1500 Euro von fremden Kreditkarten abbuchen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Wie die ct herausgefunden hat, liegt diese Beschränkung bei 1500 Euro. " und wie oft haben die es getestet? bzw hat ct jetzt neue hardware? :D
 
@Motti: Werden wohl in den "Insider" Hacker Foren nachgelesen haben. Die wohl fast jeder kennt trotzdem hier nicht genannt werden darf.
 
@Sheldon Cooper: nö, das haben die cracks der ct bei paypal.de nachgelesen. ganz schön gewieft!
 
Tja ich weiß schon, wieso ich keine Kreditkarte habe.....
 
@fredthefreezer: ja das sag ich dir, ich brauch sowas auch nicht.
 
@Zenton: Bezahlst du überall mit Bargeld und überweist jeden Betrag per Online Banking? Wäre mir viel zu anstrengend, extra wegen z.B Rapidshare oder wegen Spenden Onlinebanking zu öffnen und dann noch so lange warten bis die Zahlung ankommt.
 
@Sheldon Cooper: Rapidshare oder wegen Spenden passt ja mal garnicht zusammen, die Spenden gehen wohl an die warez sites wa *GGG
 
@sorduk: Das passt gut zusammen ;) Ich bezahle für alles was mir gefällt. In der Sache bin ich sehr ehrlich.
 
@fredthefreezer[o2]: Das wissen die Kommentar-Leser auch: Die bekommt nicht jeder.
 
@fredthefreezer: Kann mir mal jemand den Vorteil einer Kreditkarte verraten? Ich habe bis jetzt keine und bin froh drum. Gerade wenn ich mir die nicht unerheblichen Beiträge ansehe verstehe ich den Sinn dahinter absolut nicht. Meine EC-Karte funktioniert doch genauso einwandfrei.
 
@tienchen: wenn man öfters im ausland unterwegs ist lohnt sich das schon. war für mich früher sau lästig, erst nen maestro-automaten zu finden und dann noch die ganzen gebühren zu zahlen. mal ganz abgesehen von kartenzahlungen in geschäften. ach, ich hab dafür einfach eine "prepaid" kreditkarte. also mastercard ohne kredit, hehe ... aber die ganzen vorteile der mastercard, die ich oben beschrieben habe.
 
@tienchen: ich mach gern Urlaub in Kopenhagen. Da werden selbst Brötchen mit Visa bezahlt. EC/Maestro ist da unbekannt.
 
@tienchen: EC-karte ist nur noch in DE, sonst interessiert das keinen Menschen mehr in EU und Nicht-EU- Mit Visa konnte ich schon vor 11 Jahren in Irland im Krämerladen bezahlen (übrigens sonntags morgens!), EC erzeugt dort nur Kopfschütteln. Was sind wir doch eine Bananenrepublik...
 
@pubsfried: äähhh bitte vorher nochmal genau informieren. EC ist ein Kartensystem für den NATIONALEN Zahlungsverkehr. Damit im Ausland zu bezahlen ist irgendwie "unüberlegt". So etwas hat btw fast jedes Land. In der Schweiz ist das z.B. die SIX. Das hat nichts mit "Bananenrepublik" zu tun. Für den internationalen Zahlungsverkehr gibt es dann zb Visa oder Maestro.
 
@Cor: Im übrigen ist die EC-Karte nicht mehr nur für den nationalen Zahlungsverkehr geeignet. Bevor du also andere aufforderst, sich genau zu informieren, wirf doch bitte selbst einen Blick auf Webseiten wie die des EPC (European Payments Council) oder auch nur in die Wikipedia (http://de.wikipedia.org/wiki/Single_Euro_Payments_Area).
 
@thomas.live: Ich kenne den Unterschied zwischen Unterschrifts- und Pin-Autorisierung. BEIDE Verfahren sind bei BEIDEN Kartenarten vorhanden. Deshalb verstehe ich nicht, warum Du mir das hier nun nochmal extra erklärst. "Im übrigen ist die EC-Karte nicht mehr nur für den nationalen Zahlungsverkehr geeignet". Das ist im moment falsch. EC ist immer noch ein nationales Zahlungssystem und hat mit SEPA NOCH nichts am Hut. Es gibt das SEPA-Cards Framework, welches aber in der Praxis frühestens 2011 Anwendung finden wird. Dazu müssen erst mal alle Karten mit EMV versehen werden und das EC Netzwerk geöffnet werden. Du redest von der Zukunft, ich rede vom Ist-Zustand.
 
@tienchen: Neben den wichtigen Vorteilen wie Auslangsbezahlung und leichte Bezahlung im Netz ist ein weiterer Vorteil, das es ein KREDIT ist. Das Geld wird also nicht sofort Deinem Konto belastet, sonden erst bei der Abrechnung --> Zinsen bleiben auf Deinem Giro(?)/normalen Konto. Dir steht ausserdem innerhalb des Verfügungsrahmens ein kostenloser Kredit zur Verfügung und zwar egal wieviel auf Deinem eigentlichen Konto verfügbar ist. Und jetzt kommt der allerwichtigste Vorteil in meinen Augen, und mich wundert es immer wieder dass dieser nie genannt wird: Kreditkarten sind sicherer als Debitkarten/EC-Karten.
 
@Cor: "Kreditkarten sind sicherer als Debitkarten/EC-Karten" Häääh? Also mit einer gestohlenen/gekauften/gephishten/gemerkten/fotografierten/sonstwie erfahrenen Kartennummer (plus Gültigkeit und CVC) kann jeder online shoppen gehen. Bei einer EC-Karte/Girocard muss er schon den Magnetstreifen auslesen (oder gleich die ganze Karte haben) und die PIN in Erfahrung bringen, um an Geld zu kommen.
 
@thomas.live: Hauptsache mal nen Minus reingedrückt ohne nen Plan zu haben, oder? Kreditkarten sind nicht aufgrund technischer Sicherheitsmassnahmen sicherer, sondern weil der Karteninhaber bei einem nicht-fahrlässigen Verlust der Kreditkarte nur einen absoluten Minimalbetrag bezahlt (meist 50 Euro oder auch 0 Euro, je nach Selbstbeteiligungsregelung festgelegt) Bei Debit-Cards bleibt der Karteninhaber aber auf dem gesamten Betrag sitzen, der bis zum Zeitpunkt der Sperrung belastet wurde.
 
@thomas.live: Und noch was: PIN und Unterschriftsverfahren sind völlig unabhängig von Debit und Kreditkarten! Das gibt es bei beiden Kartenarten. Von daher ist das Argument völliger Humbug.
 
@Cor: Überlege doch mal, was du mit deiner Unterschrift autorisierst: Bei Kreditkarten die Zahlungen (zu den AGB deines Kartenanbieters). Im Falle eines einzelnen Widerspruchs (keiner Diebstahlsmeldung) wird der Kartenherausgeber lediglich versuchen, die Unstimmigkeit zu klären (s.o.). Bei ELV-Zahlungen gibst du dem Händler nur die Erlaubnis zur Lastschrift. Die muss deine Bank nicht einlösen und kann auch von dir zurückgegeben werden. Dann muss der Händler selbst versuchen, an sein Geld zu kommen, die Bank wird hier nichts klären. Sowohl bei Kreditkarten wie auch bei EC-Karten/Girocards wird dein Kartenherausgeber aber beim Bargeldbezug mit PIN erstmal Nachweise sehen wollen, bevor Schäden ersetzt werden. Es wird in aller Regel grobe Fahrlässigkeit oder Vorsatz bei der Geheimhaltung der PIN unterstellt.
 
@Cor: Schon mal die andere seite gesehen? Händler bekommen ihr Geld auch erst bis zu 30 Tagen nach kauf,und die gebühren zahlt auch der Händler.
Deshalb sind Kreditkarten bei vielen Händlern nicht gerngesehen
( Nicht Online sondern im Laden)
 
@Yogi01: Das ist natürlich richtig. Meine Argumente beziehen sich momentan aber nur auf Kundenseite. Eine Kreditkarte ersetzt auch keine Debitkarte, sie ergänzt sie.
 
@fredthefreezer: Ich habe eine und will sie nicht mehr missen. Einfach überall bezahlen und sehr sicher. Man kann Beträge jederzeit zurückbuchen lassen bei Verdachtsfällen. Was will ich mit ner ec-Karte am Flughafen London-Heathrow denn schon anfangen? Oder Hotelbuchungen über booking.com - ohne kreditkarte keine Chance. Selbst mein 17-jähriger bruder hat ne Prepaid-VISA und findet die klasse.
 
@fredthefreezer u. alle Leute die "so was nicht brauchen": Irgendwann sicher mal. Und der zinslose bis-zu-30-Tage-Kredit ist auch nicht zu verachten. @kruemel0204: Ja, vor allem muss man erst mal eine Ausbildung oder einen Job haben ;)
 
@fredthefreezer: weil du keine wegen deiner nicht so guten bonität bekommst?g
 
interessant, wie ihr alle angeblich Ahnung von meiner Bonität / von meinem Beschäftigungsverhältnis habt......Ich meine, ich höre nicht zum ersten mal von Kreditkartenbetrug...und wie oft passiert es denn, dass in die angeblich so sicheren Systeme von Abrechnungsfirmen, die Kreditkartendaten verwalten eingebrochen wird und mit diesen Daten dann Schindluder betrieben wird!? Im Internet nutze ich Paypal mit Login und mTan. Und wenn ein Shop kein Paypal anbietet oder sich nicht sonstwie (Online EC, etc) zahlen lässt, dann finde ich eben einen anderen Shop....Kreitkarten haben meiner Meinung nach nur noch eine Existenzberechtigung für Zahlungen im Ausland, und da gebe ich allen Vorrednern Recht! Doch auch diese Buchungen kosten oft eine Gebühr(je nach Anbieter).
 
@fredthefreezer: Ne, Kreditkarte brauchst Du erst, wenn du groß bist. Dann kann man damit bezahlen. Das tolle ist: Man hat einen zinslosen Kredit (bis zur Abrechnung). Wenn Du ein ordentliches Einkommen hast, dann kannst Du damit auch ohne Guthaben ziemlich hohe Beträge zahlen. Aber davon dürfen die meißten hier nur träumen.
 
@kaffeekanne: siehe re:21
 
hmm versteh ich nicht, warum erst nach einem Jahr? Ich hätts gleich zurückbuchen lassen, was ja bei CC problemlos möglich ist (Risiko trägt die Bank usw...), und dann hätte sich die Sache erledigt!
 
@legalxpuser: "beleglos abgebucht" war die antwort von der kreditkarten firma - paypal hat auch nichts hergegeben. bei paypal musst du überhaupt immer zuerst mal deine unschuld beweisen bis irgendwas geht
 
Paypal bucht doch per Lastschrift ab oder? Zumindest vom Konto.
Kann man das bei KK nicht einfach zurück buchen?
Beim Bankkonto geht das, indem man die Bank kontaktiert und sagt, dass man einen per Lastschrift abgezogenen Betrag zurück buchen will.
Hat mir schon ärger mit 2 Inkassobüros eingehandelt, da ich meinte, dass ich im Recht wäre, was der Kunde eigentlich immer ist.
 
@hellium: Auch bei KKs kannst du das Geld zurückbuchen lassen...

Bzw. die Bank haftet und schreibt dir bei Unstimmigkeiten das Geld wieder gut.
 
@sebastian2: Die Bank schreibt dir das Geld unter Vorbehalt wieder gut bis sie die Angelegenheit klären kann. Wenn nun Paypal sagt, dass das alles mit Richtigkeit zuging steht der Kunde am Ende als dummer da. So wird das in dem Fall gewesen sein.
 
@kinley: Ich meine, dass der Fall genau so lief. Die Kundin ist dann zwischen Paypal und ihrer Bank im Kreis gelaufen.
 
Du kannst auch Deine KK angeben, dann wird von der abgebucht. Paypal ist schon gut. Und Internet ohne Kreditkarte ist wie ein Kuchen ohne Zucker.
 
@PCTechniker: Ohne CC geht heute wirklich nichts mehr, selbst in Deutschland auch wenn 20 Jahre zu spät.
 
@Sheldon Cooper: Soso, also geht bei mir gar nichts? Gut zu wissen. Nur zur Info: Eine EC-Karte ist keine Kreditkarte, nicht dass man bei manchen notdürftig herbeigerungenen Argumentationen etwas durcheinanderbringt.
 
@Sheldon Cooper: Also für was bitte schön Kreditkarte ? Außer für irgendwelche "seriösen" Pornoseiten. Ich kauf rund um die Welt mit Paypal via Lastschrift. Scheiß auf Kreditkarte kostet nur unnötig Geld und ist auch nicht schneller als Paypal und gerade im Inland und beim Online Shopping is Paypal einfach top aber wieso das jemand über seine Kreditkarte laufen lässt oder sich fürs Online Shopping ne Kreditkarte zulegt rein fürs Inland is mal absolut dämlich. Schaun wir doch mal über den Teich nach Amiland die meisten haben X Kreditkarten null Ahnung wie groß ich Schuldenberg eigentlich ist und irgendwann stehen se vor dem Ruin. Kreditkarte is schlimmer als Dispokredit.
 
@PCTechniker: ... sorry - aber deine Aussage entbehrt jeder Realität. Denn Angesichts der Tatsache, dass ich persönlich schon seit vielen Jahren im Internet kaufe, dürfte die vorgeschriebene Nutzung meiner Kreditkarte dabei an einer Hand abzuzählen sein ... ;-))
 
Ja, unglaublich kritische Sicherheitslücke von Paypal. Am besten gleich abschaffen, dann kommen die Diebe gar nicht mehr in die Verlegenheit, das über Paypal zu machen und 1500€ Grenze dabei zu haben, sondern geben die geklauten Kreditkartendaten direkt beim Händler an und kaufen sogar ganz ohne Limit ein ;)
 
Das Problem sind die Betrüger und schlampige Kreditkartenbesitzer.
 
Was alle nur haben? Das Limit, die 1500€ sind auch wenn mein ein Bankkonto hinzufügt. Da ist genau das gleiche Limit, solange das Konto noch nicht "bestätigt worden ist. Man sollte halt doch mal AGB`s lesen.
Das Limit gilt für Kreditkarten und Bankkonten, solange sie nicht bestätigt sind, d.h wenn einer ne Bankkarte findet, kann er das genau so missbrauchen. Anh und für sich ein Fehler, bei PayPal find ich, mann sollte es erst nutzen können, wenn man es "mit den Code bei der Kreiditkarte, oder den zwei Centbeträgen als Überweisung, bei einem Bankkonto bestätigt hat ...
 
schlampige Kreditkartenbesitzer?

huh? woher hast du das denn? Kartennummer + Ablaufdatum + CVC Nr. sieht jeder "Arsch", der meine Karte in den Händen hält, z. B. Tankstelle. Mehr braucht man nun mal nicht, um Kreditkartenbetrug zu starten.
 
@hackology: Zumindest letzteres kann man aber übermalen ;).

Allerdings haben Tankstelle und co nicht wirklich die Zeit dafür, das ganze abzuschreiben...

Auf den "Kassenzetteln" steht ja nicht mal die KK Nummer.
 
@sebastian2: wenn man schlau wäre könnte man die karte einfach mal in eine versteckte kamera hinterm tresen halten. die merkt sich alle daten ruckzuck, sogar eine unterschrift.
 
Als ehemaliger Paypal-Nutzer kann ich nur sagen: Paypal ist eine Sicherheits-Lücke an sich.
 
@metusalemchen: Hast dein 123456 Passwort am Kühlschrank hängen oder wie?
 
@metusalemchen: ... eine detailliertere Erklärung wäre vielleicht ganz wünschenswert ... ;-)
 
@metusalemchen: "... Paypal ist eine Sicherheits-Lücke an sich ..." .... und das nicht auf die Kreditkarten bezogen, sondern schon bei normaler Anwendung, wenn es Probleme z. Bsp. bei Ebay-Käufen gibt. Der so genannte "Käuferschutz" ist ein fragwürdiger und man muss als Käufer seinem Geld hinterher rennen. Bei der Bearbeiung des Falles hatte ich es mit 5 "Ansprechpartnern" zu tun, von denen der eine nicht wusste, was der andere gemacht hatte: mal gab der eine mir Recht - der andere dann dem Verkäufer (defektes Gerät geliefert) usw. ..... Die Erstattung zog sich hin und hin - Das Ganze hat mich ca. 80,- EUR gekostet, weil ich auf den Gutachterkosten sitzen blieb und auch trotz "Käuferschutz" auch die Rücksendekosten tragen muss - weiterhin bin ich verpflichtet, die Ware zuerst zurück zu schicken (somit alles aus der Hand zu geben), bevor überhaupt ein Cent in meine Richtung geht! Ich meide Paypal, wo immer es geht!!
 
@metusalemchen: ich nutze paypal seid jahren und alle wenigen probleme die waren,wurden zu meinem gunsten gelöst. was war denn dein problem dort?
 
metusalemchen:
dann must du ja sehr schlechte Erfahrungen gemacht haben...
 
@lifetime: also ich nutz das schon seit anfang an und kann deine aussage nur bestätigen, irgendwie muss er schlechte erfahrungen gemacht haben, für mich ist es die beste zahlungsmethode.
 
was soll denn das für eine Sicherheitslücke sein? Mit Kreditkarten zahlt man eben nur mit seinem Namen. Aber das Gute, das Risiko und die Beweislast hat die Bank!
Da muss die Dame Ihrem KK-Unternehmen mal voll eins auf die Finger geben. Aber ausnahmsweise ist mal Paypal nicht der Schlechte.

Und Ct: echt guter Brüller
 
@krabatt: falsch. wenn alles ordungsgemäß abgewickelt wurde wird gar nichts gemacht. da ist paypal der böse.
 
Am besten ihr schaut euch mal den Beitrag an auf cttv. Dann würden nicht so unqualifizierte Antworten hier sein. Wenn man selbst in solch eine Zwickmühle reinkommt ohne eigenes Verschulden dann würde nicht mehr sowas geschrieben werden.
 
@mav072: nichts für ungut, aber CTTV ist unter aller sau. Der Moderaotr sieht aus wie eine überschminkte tu....hat null Plan von IT...der mit dem Zöpfchen macht eine etwas bessere Figur, prickelnd ist der aber auch net. Ist eher auf PCWELT oder CHIP Niveau. Ich lese selber gern die CT, aber das TV dazu ist echt ne Frechheit, und steht im krassen Widerspruch zum gedruckten Magazin.
 
@balini: Vielleicht soll mit CtTV auch eine andere Zielgruppe angesprochen werden?
 
@balini: Du hast vollkommen Recht. Aber die zwei Köppe versteht sogar meine 13 jährige Tochter. Ich finde sie nur einfach lustig.
Als ich die Sendung vor Jahren das erste mal gesehen habe, habe ich so gedacht, das kann unmöglich von CT sein.
 
Natürlich ist so etwas zum einen ärgerlich. Den Ärger hat man bei Fehlbuchungen auf dem Girokonto auch. Da stellt sich auch manche Bank erstmal stur.

Es ist das Wesen einer Kreditkarte, dass sie unsicher ist. Aber - und jetzt denk gut mit - das macht sie für die Anwendung im Internet so sicher. Nirgends sonst kann man sich sein Geld so leicht zurück holen. Und wenn das in dem Fall nicht so war, dann lief etwas schief. (was weis ich nicht, denn ich finde den Beitrag auf CTtv nicht)

Wenn sämtliche Sicherheitsvorkehrungen auf den Anwender verlagert werden, wie kann man der Bank dann noch einen Mißbrauch nachweisen? - Dass unser neuer Personalausweis geknackt werden kann hat der CCC bewiesen. Aber stell Dir mal vor, ein Ganove weist sich mit Deinen Daten beim Kauf im Internet aus.. Was stehen bei einem so "sicheren" System Deine Chancen, das glaubhaft zu machen und Dein Geld zurück zu bekommen?

Um diese "Lücke" bei paypal zu sehen braucht man nicht lange zu recherchieren. Da genügt es,sich dort anzumelden.
Nur verstehe ich nicht, warum sich die Dame überhaupt mit Paypal auseinander setzte. Bei meiner Kreditkarte brauchs "zur Reklamation bzw. zur Belegkopieanforderung einen unterschriebenen Reklamationsantrag". Den schicke ich hin und das Geld ist wieder da.
 
@krabatt: " ... Nur verstehe ich nicht, warum sich die Dame überhaupt mit Paypal auseinander setzte. ...". Das habe ich allerdings auch nicht verstanden.
 
ähm ... mit gestohlenen kreditkarten(informationen) kann man sonstwo einkaufen/bezahlen ... ich sehe hier keine sicherheitslücke bei paypal.
 
Also wenn ich Sätze lese wie "selbst mein 17-jähriger bruder hat ne Prepaid-VISA und findet die klasse" und dies als Argument FÜR Kreditkarten angiebt, frage ich mich ob hier Kinder schreiben: Hallo! Welcher Teenei wäre nicht begeistert wenn er von den Eltern 'ne Kreditkarte bekommt??? Und ich wußte auch nicht daß es so viele Ego-Kranke hier in Deutschland gibt, die hier rumprahlen müssen was sie alles mit ihrer Kreditkarte machen (können). Denen möchte ich Allen sagen: Ihr unterstützt nur die blöden Banken.

Keine Sicherheitslücken bei Paypal??? Wer das behauptet, soll mir doch seinen Porsche verkaufen - ich bezahl mit Papyal. 5 Minuten nach Lieferung des Porsches habe ich mein Geld von IHREM Paypalkonto wieder zurückbuchen lassen. Ohne Tricks und doppeltem Boden!
 
@wer?: das stimmt nicht, du kannst erst nach 7 tagen nen antrag stellen auf rückerstattung.

und ne prepaid visa karte arbeitet auf dem guthabensprinzip...
 
Also diese "Sicherheitslücke" besteht bei PayPal schon immer...... Es ist für jeden möglich ein "PayPal-Konto" zu erstellen, dabei ist es egal ob Kreditkarten- oder Bankkontodaten vorhanden sind. Solange der geschädigte kein eigenes PayPal-Konto besitzt, in dem seine Daten eingetragen sind, wird es einem Betrüger immer gelingen zu bezahlen. Das Limit von 1500 Euro ist lediglich das Limit für nicht bestätigte PayPal-Konten und in den AGB von PayPal festgelegt. Doch da PayPal seinem Moto treu bleiben möchte (einfach, schnell und sicher bezahlen), wird es wohl so schnell keine Änderung an dem Modell zur Bezahlung geben. Betrug gehört einfach zum Alltag von PayPal. Ob es nun mit gestohlenen Kontodaten ist oder einfach nur durch das Ausnutzen von Lücken in den "Sicherheitsmechnismen".
 
wer schon einmal Probleme mit paypal hatte, der weiss wovon viele sprechen.
Als Verkäufer paypal zu nutzen kann grausam enden. Die frieren dann unter Umständen 180 Tage das Geld ein.
Also für mich ist paypal schon lange gestorben.
Ebay geht dann eventuell nicht? Egal: Es gibt ja noch hood.de
 
@RalfGer: Man benötigt nicht zwinged PayPal um bei eBay etwas zu verkaufen (zumindest wenn man 50 positive Bewertungen hat). Also mal eben 50 ein € Artikel kaufen und schon klappt das Verkaufen auf eBay ohne PayPal. ;-)
 
gut das ich ne prepait karte nutze... meine "echte" benutze ich fürs netz nicht. und sicher ist nur eins: wir müssen mal sterben! alles andere ist unsicher!
 
Definition von Sicherheitslücke: Also wenn ich erst Kreditkartendaten oder die Karte selbst abgreifen/klauen/finden muss und damit "shoppe" nenn ich das nicht "Sicherheitslücke". Mit geklauten Kreditkartendaten kann man problemlos in Online-Shops einkaufen und bis das Opfer die Abrechnung sieht ist man längst mit der Ware weg.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles