Laut Recherchen der Computerzeitschrift "c't" gibt es beim Online-Bezahldienst PayPal eine erhebliche Sicherheitslücke: Betrügern sei es möglich, bis zu 1500 Euro über fremde Kreditkarten abzubuchen. In einem konkreten Fall bekam eine Frau ihr Geld erst nach einem Jahr zurück.
Bis zu 1500 Euro können Betrüger ohne jedwede Überprüfung über den Online-Bezahldienst Paypal mit gestohlenen Kreditkartendaten ausgeben. Das berichtet das Computermagazin "c't" in seiner Ausgabe vom 27. September. Dem Artikel zufolge liegt die Maximalgrenze, mit der Paypal-Nutzer eine nicht verifizierte Kreditkarte belasten können, bei dieser Höhe.
Wie eine PayPal-Sprecherin gegenüber dem Magazin erklärte, würden Kreditkarten der Nutzer zur Überprüfung mit einer geringen Summe belastet. Diese Summe diene als Code, mit der der Nutzer sich als Karteninhaber identifizieren muss. Bis zu dieser Bestätigung seien jedoch bereits Transaktionen in einem beschränkten Ausmaß möglich. Laut Recherchen von "c't" liegt diese Beschränkung bei eben jener Summe von 1500 Euro.
"Das ist schon beachtlich, zumal doch deutsche Kreditinstitute durch das Geldwäschegesetz gezwungen sind, bei einer Kontoeröffnung die Identität des Kunden anhand eines Lichtbildausweises oder einer qualifizierten elektronischen Signatur zu überprüfen", schreibt das Magazin.
Paypal hat nach Veröffentlichung dieses Artikel die Anfrage SPIEGEL ONLINE zu dem Sicherheitsproblem beantwortet. Es sei bei Paypal nicht möglich, "lediglich anhand einer gestohlenen Kreditkartennummer zu bezahlen". Man müsse auch die Prüfungsnummer (CVC) und die Gültigkeit der Karte angeben. Im von der "c't" beschriebenen Fall muss laut Paypal "ein Dritter auf alle auf der Kreditkarte angegebenen Daten Zugriff gehabt haben". Paypal kommentiert das so: "Kredit-Institute machen deshalb ausdrücklich darauf aufmerksam, Karten-, Prüfnummer und Gültigkeit der Karte nicht an Unbefugte heraus zu geben.".
Anlass für die Recherche war der Fall einer Frau, der im August vergangenem Jahres 195 Euro von ihrer Kreditkarte abgebucht wurden. Die Frau hatte jedoch nie einen PayPal-Account. Sie veranlasste bei ihrem Kreditkartendienstleister, das Geld zurück buchen zu lassen, was zunächst auch unter Vorbehalt passierte.
In der Folge wurde diese Rückbuchung jedoch widerrufen, mit dem Verweis, PayPay übernehme lediglich die Zahlungsabwicklung im Auftrag des Verkäufers. Das Computer-Magazin fragte bei einem Mastercard-Sprecher an, ob PayPal aufgrund seiner in Luxemburg erteilten Lizenz als Kreditinstitut vor Rückbuchungen, sogenannten Chargebacks, geschützt sei. Der Sprecher habe der Zeitschrift geantwortet: "PayPal hat eine Zwitterfunktion. Wenn das Unternehmen als Händler auftritt, kann ein Chargeback erfolgen. Die Bedingungen für ein Chargeback legen die Banken mit ihren Dienstleistern vertraglich fest."
Das kommentiert Paypal so: Man sei "kein deutsches Kredit-Institut" und erst bei einem Betrag von 2.500 Euro verpflichtet, eine Identifizierung durchzuführen. Aber man prüfe freiwillig bereits ab einem Betrag von 1.500 Euro die Identität des Kontoinhabers.
Im Klartext heißt das: 1500 Euro können durchaus entwendet werden, wenn jemand die Kreditkartendaten eines Opfers gestohlen hat.
Die Geschädigte habe ihr Geld nach einem Jahr mittlerweile erstattet bekommen, heißt es in dem Artikel. Außerdem erstattet worden seien die Kosten für eine neue Kreditkarte, welche die Frau zur Sicherheit beantragt habe. Das Geld habe sie jedoch erst erhalten, nachdem "c't" PayPal mit dem Fall konfrontiert habe.
Dem vorausgegangen waren zahlreiche Versuche der Betroffenen, von PayPal ihr Geld zurück zu bekommen. Mehrfach habe sie weitestgehend erfolglos sowohl mit dem US-Unternehmen, als auch mit ihrer Bank und ihrem Kreditkartendienstleister kommuniziert.
Bislang hat PayPal keine Konsequenzen aus der Veröffentlichung verlautbaren lassen. Den konkreten Missbrauchs-Fall kommentierte eine Sprecherin mit "das ist sehr unglücklich gelaufen." Zuletzt erzielte PayPal große Gewinne , von denen der Mutterkonzern Ebay profitierte. Quelle Spiegel.de