Keine eMail Prüfung bei Gastkonto - Betrug einfach möglich - @PayPal : Bitte unterbinden

Oliver301
Beitragsleistender
Beitragsleistender

Hallo,

 

ich habe 2 eMails erhalten mit der Aufforderung zwei Rechnungen zu bezahlen. Am Anfang dachte ich, sind wieder Betrugsemails, sahen aber echt aus.

 

Leider waren die echt. PayPal bietet anscheinend die Option an, dass man Gastkonten erstellen, worüber man dann den Betrag per Rechnung bezahlen kann. Es erfolgt durch PayPal keine Prüfung ob :

- die eMail-Adresse einen vorhanden PayPal Konto zugeordnet werden kann (und man die Echtheit prüfen kann)

- das die eMail-Adresse existiert, es wird nicht eine extra Bestättigungs-eMail verschickt.

Damit macht es PayPal sehr einfach Betrug durchzuführen. Auch sehe ich hier Probleme mit dem Datenschutz, personenbezogene Daten können ohne Zustimmung verwendet werden.

Die Anzeigen wegen Identitätsdiebstahl ist schon erfolgt.

@ PayPal, bitte umgehend die Probleme beheben, Umsatz ist nicht alles !!

 

Wenn hat es noch getroffen ?

Gruß

Oliver

 

 

Login to Me Too
5 ANTWORTEN 5

vozzibaer
Beitragsleistender
Beitragsleistender

Mich.

Ich habe jetzt festgestellt, dass es für einen Einkauf "als Gast" per PayPal ausreicht, wenn man die IBAN eines damit verknüpften PayPal Kontos kennt.

Konkret:

- ich kenne die IBAN und weiß, dass diese mit einem PayPal Konto verknüpft ist

- ich finde einen Shop, z.B. expert, der Bezahlung als Gast akzeptiert

- ich bestelle dort unter Angabe dieser IBAN, einer fiktiven e-Mail Adresse, eines fiktiven Namens und einer beliebigen Empfängeradresse

 

Das Paket kann ich dann über die fiktive e-Mailadresse nachverfolgen und den Postboten abfangen.

 

 

Bingo.

 

Ist das der Anspruch den PayPal an die Sicherheit stellt? Kann doch nicht wahr sein!

Login to Me Too

ToChLi
Beitragsleistender
Beitragsleistender

Habe ebenfalls das Problem. Jemand hat über ein Gastkonto scheinbar über eine meiner alten E-Mail Adressen was bestellt. Ich kann aber logischerweise nicht über die E-Mail, auf der ich kein PayPal Konto habe auf die Nachricht antworten, die fragt WARUM ICH DOCH DAS GELD ZURÜCKGEZOGEN HABE.

 

Bisher waren die Telefonate mit PayPal ziemlich nutzlos.

 

Nach dem ersten Telefonat hieß es, es wird bearbeitet und das Konto gesperrt. Daraufhin kriege ich eine E-Mail die im Grunde aussagt: Der Kontoinhaber hat das Paket erhalten.

 

Die Gastkonto Funktion ist eine riesen Sicherheitslücke.

Login to Me Too

DanielB123456
Beitragsleistender
Beitragsleistender

Selbes Problem bei mir. Hab jetzt eine Abmahnung von KSP erhalten, für ein Transaktion, die ich nie ausgeführt habe und bei der eine Lieferadresse verwendet wurde, die mit mir nicht in Verbindung steht. Sehr schlechte Implementierung. Paypal muss dringend die Gastfunktion einstellen oder zu mindesten über 2 Faktor Identifizierung ergänzen. So wie es jetzt ist steht Betrügern jegliche Tür offen.

Login to Me Too

Julle
Beitragsleistender
Beitragsleistender

Ich hatte dasselbe Problem wie Daniel oben beschrieben hat. Jemand hat über ein 'Gastkonto' auf meinen Namen eine Zahlung vorgenommen. Zwischenzeitlich habe ich meinen Paypal account mit mir ins Ausland umgezogen und in dem Account konnte ich die Zahlung nicht finden, dachte also es ist spam.

Erst die Abmahnung der Kanzlei KSP hat mich darauf aufmerksam gemacht, dass Paypal da anscheinend wirklich auf Basis schlechter Daten in meinem Namen eine Zahlung bestätigt hat.

Wirklich bedenklich aus meiner Sicht: Das Paypal-Konto in Deutschland ist geschlossen, die verwendeten personenbezogenen Daten sind mehr als 10 Jahre alt! Und dennoch authorisiert Paypal damit Transaktionen und reicht diese ans Inkasso weiter. 

Login to Me Too

rvjr
Neues Community Mitglied

Ich musste das leider auch grade teuer rausfinden, dass Paypal so eine absurde Sicherheitslücke hat, wie eingangs beschrieben. Wie kann das denn sein, dass man im Jahr 2024 immer noch Transaktionen ohne Logindaten und 2FA ausführen kann, allein mit der Kenntnis von ein paar Kontodaten?

 

Die Transaktionen werden nicht per App authentifiziert, und tauchen noch nichtmal in der Transaktionsliste auf; lediglich auf dem Kontoauszug finde ich dann eine nicht von mir initiierte Buchung per SEPA Lastschrift, von irgendeinem Gauner, der aus einem Leak meine IBAN, Geburtsdatum und Email gelernt hat.

 

Noch schöner ist dann, dass ich von der Hotline erfahre, dass man diese unauthentifizierte Zahlungsweise nichtmal irgendwo mit einer Kontoeinstellung unterbinden kann. Ich glaube da kann man nur jedem Empfehlen das SEPA Mandat für Paypal zu kündigen. Kreditkartenzahlungen sind ja in der Regel noch durch den Kartenanbieter per 2FA geschützt. Aber dann braucht man eigentlich Paypal auch nicht mehr.

 

Das ist wirklich höchst peinlich, Paypal.

Login to Me Too

Haven't Found your Answer?

It happens. Hit the "Login to Ask the community" button to create a question for the PayPal community.