Datenschutz-Panne bei PayPal:
Kontostände anderer Nutzer per Telefon
einfach abrufbar

Geändert am 20.08.2008
Über die Telefonnummer des PayPal-Kundendienstes können Nutzer den Kontostand und über PayPal abgewickelte Kontobewegungen abrufen. Der Anruf, bei dem man mit einem Telefoncomputer verbunden wird, ist nicht durch einen geeigneten Sicherheitsmechanismus beschränkt.
Dadurch können unbefugt die Bewegungen auf PayPal-Konten anderer Nutzer abgefragt werden.
»Optimale Betrugsprävention
- Alle finanziellen und persönlichen Daten sind durch Verschlüsselungstechnologien gesichert und auf Sicherheitsservern bei PayPal gespeichert.
« So lautet eines der Werbeargumente, mit denen PayPal auf seiner Internet-Präsenz potentielle Kunden davon überzeugen will, ein besonders sicheres Zahlungssystem zu sein.

PayPal-Händlerportal: Werbung mit „Datensicherheit“

Doch die vermeintlich verschlüsselten und sicher gespeicherten Daten können ganz einfach per Telefon abgerufen werden. Über die dafür geschaltete Servicenummer lassen sich neben dem Kontostand auch ein- und ausgegangene Zahlungen mitsamt der Namen der beteiligten Transaktionspartner abfragen.
Zur Identifizierung des Anrufers fragt PayPal dessen Telefonnummer und die letzen vier Ziffern der hinterlegten Bankkontonummer ab. Eine „Telefon-PIN“, ein Passwort oder ein anderes Sicherheitsmerkmal wird hingegen nicht verlangt.
Damit ist der Zugang zu tausenden von Geschäftskonten quasi offen. Alle gewerblichen Online-Verkäufer sind durch den Gesetzgeber verpflichtet, ihre Telefonnummer im Impressum ihres Internetauftritts anzugeben. Händler veröffentlichen zudem oft in ihren Webshops oder bei eBay ihre Kontoverbindung, um ihren Kunden eine schnelle Bezahlung zu ermöglichen. In den meisten Fällen werden diese Angaben mit den bei PayPal hinterlegten identisch sein – denn kaum jemand hat eine eigene Telefonnummer oder gar ein eigenes Bankkonto nur für PayPal.

Wer bei eBay Überweisung als Zahlungsmethode anbieten möchte, muss seine Bankverbindung hinterlegen. In solchen Fällen genügt ein Testkauf, um die Bankverbindung eines Verkäufers zu erfahren.

Doch auch Privatpersonen sind betroffen. Beinahe jeder eBay-Verkäufer teilt seine Kontoverbindung und Adressdaten regelmäßig den Käufern seiner Artikel mit. Wer im Telefonbuch steht und Kunde bei PayPal ist, macht damit ohne es zu wissen seinen „Kontoauszug“ mit allen vorhandenen Buchungen jedem seiner Handelspartner zugänglich.
Persönliche Finanzdaten gehören zu den sensibelsten privaten Informationen. Im Falle einer Firma sind sie sogar wichtiges Geschäftsgeheimnis. Zusätzlich sind über das Datenschutz-Leck bei PayPal die Namen aller Transaktionspartner abrufbar – und damit der Kundenstamm eines Unternehmens.
Die Sicherheitsabteilung des Mutterkonzerns eBay wurde durch »falle-internet.de« vor einem Monat auf das Datenleck bei der Tochterfirma PayPal aufmerksam gemacht. Zu diesem Zeitpunkt sei bereits „mit Hochdruck“ an der Lösung des Problems gearbeitet worden. Trotzdem ist der unbefugte Datenabruf nach wie vor möglich.
Betrüger können die Abfrage für sich nutzen, um besonders „lohnende“ PayPal-Konten für Phishing- oder Virusattacken ausfindig zu machen. Die Mailadresse, an die entsprechende Phishingmails versandt werden müssen, findet sich mit großer Wahrscheinlichkeit neben der Telefonnummer – im Impressum eines Händlers.
Dabei liefert PayPal auch für erfolgreiches Phishing die Vorlage: In vielen PayPal-Mails sind Links enthalten, bei deren Anklicken man zum Einloggen in sein PayPal-Konto aufgefordert wird (»falle-internet.de« berichtete). Unter anderem betrifft das jede Zahlungsbestätigung – eine bedenkliche Praxis, die aus Sicherheitsgründen bei allen Banken seit Jahren abgeschafft ist.
Hat ein Krimineller einmal Zugriff auf ein PayPal-Konto, kann er sofort das gesamte PayPal-Guthaben für betrügerische „Einkäufe“ ausgeben. Denn auch ein obligatorisches TAN-Verfahren zur Absicherung einzelner Transaktionen – ebenfalls der Mindeststandard seit den Anfangstagen des Online-Bankings – fehlt im PayPal-System ganz.
Update 19.08.2008 - 19:45 Uhr:
Die Sicherheitsabteilung bei eBay Deutschland wurde bereits vor einem Monat über die Bedenken zum Telefon-Datenleck bei PayPal informiert. Bis zur heutigen Veröffentlichung der Datenschutz-Panne erfolgte keine erkennbare angemessene Reaktion. Erst nach der Veröffentlichung und Nachfragen von Journalisten wurde die Datenlücke heute innerhalb kurzer Zeit geschlossen und die automatisierte Konto-Abfrage von PayPal abgeschaltet. Versucht man nun, seinen Kontostand bei PayPal telefonisch abzufragen, so wird man über ein Hauptmenü mit einem PayPal-Mitarbeiter verbunden. Die telefonische Abfrage des Kontostands jetzt nur noch zu den üblichen Geschäftszeiten (Mo. - Fr. von 9:30 Uhr bis 18:00 Uhr abends) möglich ist.
Update 20.08.2008 - 18:00 Uhr:
Eine Prüfung durch »falle-internet.de« ergab, dass die schwache Legitimation der automatisierten Konto-Abfrage nach deren Abschaltung durch eine möglicherweise noch schwächere Legitimation bei einem PayPal-Mitarbeiter ersetzt wurde. Tests von »falle-internet.de« ergaben, dass die PayPal-Mitarbeiter ausführlich über den Status eines PayPal-Kontos Auskunft erteilen, wenn sich der Anrufer mit der E-Mail-Adresse, dem Namen und der Adresse, auf die das PayPal-Konto angemeldet ist, und mit den letzten vier Ziffern des Bankkontos legitimiert. Die meisten dieser Angaben finden sich in den in Deutschland gesetzlich vorgeschriebenen Impressumsangaben gewerblicher Verkäufer. Bei der Abfrage der letzten vier Ziffern der Kontonummer hat sich nichts geändert.

Die Datenlücke bei PayPal wurde durch die Abschaltung der automatisieren Konto-Abfrage nicht geschlossen, der Zugang zu Auskünften zu fremden PayPal-Konten ist nun eher noch leichter als bisher.
falle-internet.de meint:
Die Datenschutz-Panne reiht sich nahtlos in eine Reihe von Sicherheitsproblemen bei PayPal ein. Wer ein PayPal-Konto hat, muss viel Eigeninitiative zeigen, um möglichen Gefahren aus dem Weg zu gehen:
  • Verwenden Sie für Ihr PayPal-Konto stets eine eigene Mailadresse. Wechseln Sie diese regelmäßig aus, denn sie ist nicht nur ihre Zahlungsadresse, sondern auch ein Teil ihrer Zugangsdaten und sollte damit so wenigen Leuten wie möglich bekannt sein.
  • Lassen Sie niemals Guthaben auf ihrem PayPal-Konto, denn dieses kann sofort für betrügerische Aktivitäten ausgegeben werden, falls sich ein Fremder Zugang verschaffen kann.
  • Hinterlegen Sie bei PayPal eine Telefonnummer, die niemand außer ihnen kennt. Hinterlegen Sie – falls möglich – ein eigenes Bankkonto, das sie ausschließlich in Verbindung mit Ihrem PayPal-Konto nutzen.
  • Sollten Sie weder eine zweite Telefonnummer noch ein alternatives Bankkonto haben, hilft bis zur Schließung des Datenlecks nur das Entfernen des Bankkontos aus dem PayPal-System oder das Schließen ihres PayPal-Kontos.


ZUM SEITENANFANG