Keine eMail Prüfung bei Gastkonto - Betrug einfach möglich - @PayPal : Bitte unterbinden

Oliver301
Beitragsleistender
Beitragsleistender
Gesendet am
‎Feb-28-2022 01:15 PM

Hallo,

 

ich habe 2 eMails erhalten mit der Aufforderung zwei Rechnungen zu bezahlen. Am Anfang dachte ich, sind wieder Betrugsemails, sahen aber echt aus.

 

Leider waren die echt. PayPal bietet anscheinend die Option an, dass man Gastkonten erstellen, worüber man dann den Betrag per Rechnung bezahlen kann. Es erfolgt durch PayPal keine Prüfung ob :

- die eMail-Adresse einen vorhanden PayPal Konto zugeordnet werden kann (und man die Echtheit prüfen kann)

- das die eMail-Adresse existiert, es wird nicht eine extra Bestättigungs-eMail verschickt.

Damit macht es PayPal sehr einfach Betrug durchzuführen. Auch sehe ich hier Probleme mit dem Datenschutz, personenbezogene Daten können ohne Zustimmung verwendet werden.

Die Anzeigen wegen Identitätsdiebstahl ist schon erfolgt.

@ PayPal, bitte umgehend die Probleme beheben, Umsatz ist nicht alles !!

 

Wenn hat es noch getroffen ?

Gruß

Oliver

 

 

Login to Me Too
Login to Reply or Kudo
6 ANTWORTEN 6

vozzibaer
Beitragsleistender
Beitragsleistender
‎Mär-03-2022 10:42 PM

Mich.

Ich habe jetzt festgestellt, dass es für einen Einkauf "als Gast" per PayPal ausreicht, wenn man die IBAN eines damit verknüpften PayPal Kontos kennt.

Konkret:

- ich kenne die IBAN und weiß, dass diese mit einem PayPal Konto verknüpft ist

- ich finde einen Shop, z.B. expert, der Bezahlung als Gast akzeptiert

- ich bestelle dort unter Angabe dieser IBAN, einer fiktiven e-Mail Adresse, eines fiktiven Namens und einer beliebigen Empfängeradresse

 

Das Paket kann ich dann über die fiktive e-Mailadresse nachverfolgen und den Postboten abfangen.

 

 

Bingo.

 

Ist das der Anspruch den PayPal an die Sicherheit stellt? Kann doch nicht wahr sein!

Login to Me Too
Login to Reply or Kudo

ToChLi
Beitragsleistender
Beitragsleistender
‎Jul-18-2023 11:20 AM

Habe ebenfalls das Problem. Jemand hat über ein Gastkonto scheinbar über eine meiner alten E-Mail Adressen was bestellt. Ich kann aber logischerweise nicht über die E-Mail, auf der ich kein PayPal Konto habe auf die Nachricht antworten, die fragt WARUM ICH DOCH DAS GELD ZURÜCKGEZOGEN HABE.

 

Bisher waren die Telefonate mit PayPal ziemlich nutzlos.

 

Nach dem ersten Telefonat hieß es, es wird bearbeitet und das Konto gesperrt. Daraufhin kriege ich eine E-Mail die im Grunde aussagt: Der Kontoinhaber hat das Paket erhalten.

 

Die Gastkonto Funktion ist eine riesen Sicherheitslücke.

Login to Me Too
Login to Reply or Kudo

DanielB123456
Beitragsleistender
Beitragsleistender
‎Jul-29-2023 02:49 PM

Selbes Problem bei mir. Hab jetzt eine Abmahnung von KSP erhalten, für ein Transaktion, die ich nie ausgeführt habe und bei der eine Lieferadresse verwendet wurde, die mit mir nicht in Verbindung steht. Sehr schlechte Implementierung. Paypal muss dringend die Gastfunktion einstellen oder zu mindesten über 2 Faktor Identifizierung ergänzen. So wie es jetzt ist steht Betrügern jegliche Tür offen.

Login to Me Too
Login to Reply or Kudo

Julle
Beitragsleistender
Beitragsleistender
‎Apr-02-2024 04:33 PM

Ich hatte dasselbe Problem wie Daniel oben beschrieben hat. Jemand hat über ein 'Gastkonto' auf meinen Namen eine Zahlung vorgenommen. Zwischenzeitlich habe ich meinen Paypal account mit mir ins Ausland umgezogen und in dem Account konnte ich die Zahlung nicht finden, dachte also es ist spam.

Erst die Abmahnung der Kanzlei KSP hat mich darauf aufmerksam gemacht, dass Paypal da anscheinend wirklich auf Basis schlechter Daten in meinem Namen eine Zahlung bestätigt hat.

Wirklich bedenklich aus meiner Sicht: Das Paypal-Konto in Deutschland ist geschlossen, die verwendeten personenbezogenen Daten sind mehr als 10 Jahre alt! Und dennoch authorisiert Paypal damit Transaktionen und reicht diese ans Inkasso weiter. 

Login to Me Too
Login to Reply or Kudo

rvjr
Neues Community Mitglied
‎Mai-28-2024 03:12 PM

Ich musste das leider auch grade teuer rausfinden, dass Paypal so eine absurde Sicherheitslücke hat, wie eingangs beschrieben. Wie kann das denn sein, dass man im Jahr 2024 immer noch Transaktionen ohne Logindaten und 2FA ausführen kann, allein mit der Kenntnis von ein paar Kontodaten?

 

Die Transaktionen werden nicht per App authentifiziert, und tauchen noch nichtmal in der Transaktionsliste auf; lediglich auf dem Kontoauszug finde ich dann eine nicht von mir initiierte Buchung per SEPA Lastschrift, von irgendeinem Gauner, der aus einem Leak meine IBAN, Geburtsdatum und Email gelernt hat.

 

Noch schöner ist dann, dass ich von der Hotline erfahre, dass man diese unauthentifizierte Zahlungsweise nichtmal irgendwo mit einer Kontoeinstellung unterbinden kann. Ich glaube da kann man nur jedem Empfehlen das SEPA Mandat für Paypal zu kündigen. Kreditkartenzahlungen sind ja in der Regel noch durch den Kartenanbieter per 2FA geschützt. Aber dann braucht man eigentlich Paypal auch nicht mehr.

 

Das ist wirklich höchst peinlich, Paypal.

Login to Me Too
Login to Reply or Kudo

cmew
Beitragsleistender
Beitragsleistender
‎Okt-25-2024 05:33 PM

Mir geht es genau so, und zwar war eine Emailadresse betroffen, die ich 2003 zwar mal als Paypal-Adresse angemeldet hatte, aber seit 20 Jahren nicht mehr hierfür benutze. Das Paypal-Konto gab es aber noch. Trotzdem wurde jetzt unter Verwendung dieser Emailadresse ein Paypal-Gastkonto erstellt:

 

Ich hatte vor zwei Wochen plötzlich mehr als 120 Emails in meinem Postfach, hauptsächlich irgendwelche Newsletteranmeldungen, alle innerhalb von ca. 20min gesendet.

 

Eine Mail irgendwo dazwischen versteckt war aber von einem deutschen Onlineshop mit einer Bestellbestätigung für Artikel im Wert von ca. 60,-€, mit meinen kompletten Daten wie Name, Adresse (aber Hausnummer falsch) und Telefonnummer und dem Spruch "Bezahlung per PayPal - einfach, schnell und sicher." Humor haben sie...

 

Zwei Mails waren von Paypal, davon eine mit der Mitteilung

 

"Das SEPA-Lastschriftmandat wurde akzeptiert.

Vielen Dank, dass Sie PayPal nutzen und das SEPA-Lastschriftmandat akzeptiert haben.

Bankkonto: X-....

[...] Ihre Zahlung wird in einer separaten E-Mail bestätigt."

 

und eine mit

 

"Sie haben €6x,xx EUR an xxxx.de gezahlt.

Eröffnen Sie ein Konto bei PayPal und kaufen Sie unbeschwert ein.

(blauer Button:) PayPal-Konto eröffnen" 

 

Wohlgemerkt: ich habe in keiner dieser Mails etwas angeklickt, kein "SEPA-Lastschriftmandat akzeptiert", trotzdem wurde der Betrag am nächsten Tag von meinem Bankkonto per Lastschrift eingezogen...

 

Es folgten stundenlange Telefonate mit Paypal...

 

Fazit:

Gastbestellungen ohne weitere Authentifizierung, Email-Bestätigungen oder mit sonstigen rudimentären Sicherheitsmerkmalen sind auch nach mehreren Jahren seit Erstellung dieses Threads immer noch möglich. Paypal hat da wohl kein Interesse, etwas zu ändern und für mehr Sicherheit zu sorgen... Schade! Eigentlich ein Fall für den Verbraucherschutz, bild.de oder rtl...

Login to Me Too
Login to Reply or Kudo

Haven't Found your Answer?

It happens. Hit the "Login to Ask the community" button to create a question for the PayPal community.