Paypal-Zahlung trotz nachträglich geändertem Passwort ohne Rückfrage möglich

  • Antworten:14
  • OffenNicht stickyNicht beantwortet
  • Forum-Beiträge: 452

27.12.2017, 16:33:09 via Website

Moin in die Runde!!

Vor einiger Zeit habe ich auf dem Android-Smartphone meines Sohnes (11 Jahre alt) eine App gekauft, dazu hatte ich meine PayPal-Zugangsdaten angegeben.

Anschließend habe ich mein PayPal-Passwort (im Paypal-Konto auf der PayPal-Seite) geändert, damit mein Sohn nicht versehentlich weiteren Käufe tätigen kann. Das Kennwort weiß er definitiv nicht.

Nun ist es aber so, dass Käufe trotz des geänderten Passwortes weiterhin problemlos möglich sind. Er klickt auf Kaufen, bestätigt den Dialog, und der Kauf wird ohne weitere Abfrage durchgeführt. Ich habe es selbst gesehen.

Ich hätte vermutet, dass auf dem Handy die Paypal-Zugangsdaten hinterlegt sind, und für den Kauf verwendet werden. Der Zugriff auf Paypal ist doch definitiv per Passwort geschützt, und das Smartphone meines Sohnes kann das neue Passwort doch nicht "wissen".
Wie ist dann noch ein Kauf möglich???

Das macht mir ehrlich gesagt etwas Angst...
Jemand ne Idee?

Klar, ich kann das Paypal-Konto auf dem Handy von Sohnemann löschen, aber das beantwortet trotzdem nicht die Frage, warum eine Bezahlung trotz neuem Kennwort überhaupt möglich ist.

Danke und viele Grüße,

Björn

Antworten
  • Forum-Beiträge: 25.028

27.12.2017, 18:52:04 via App

Das verstehe ich jetzt auch nicht. Ich habe allerdings das ganze auch so eingerichtet, dass ich das Passwort bei jedem Kauf überall manuell eingeben muss. Gespeichert ist das nirgends.
Das gleiche gilt übrigens für jedweden Kauf, ob über PayPal, Kreditkarte, Prepaid, zuerst muss ein Passwort eingegeben werden. Das mag vielleicht umständlicher sein, aber sicherer.

Ich habe es gerade mit meinem vorigen Passwort versucht, bei mir geht es nicht.

Hast du auf deinem PayPal Konto nachgeschaut, ob in der fraglichen Zeit wirklich Beträge abgegangen sind, für die du nicht verantwortlich bist?

Wenn nicht, könnte ich mir höchstens vorstellen, das der Playstore Paypal als Zahlung annimmt, ohne nochmals zu prüfen ob es geht, weil bereits eine Zahlung darüber erfolgt ist. Das wäre natürlich ebenfalls unschön.

Wenn die Beträge bei dir abgebucht wurden,
versuch mal über den Browser auf dein Konto mit dem alten Passwort zu kommen. Wenn das nicht geht, hast du vermutlich versehentlich das neue im Gerät gespeichert.

Wenn es geht, versuche dich dann mal mit dem neuen anzumelden. Geht das nicht, ist beim ändern irgendwas schief gegangen.

Sollte das aber auch gehen, d.h. du kannst dich wirklich mit zwei Passwörtern einloggen, setz dich unbedingt mit Paypal in Verbindung - dann ist das irgendein Fehler bei denen, der behoben werden muss!

Änderungen sind meist Rechtschreibfehlern geschuldet. ;)

Antworten
  • Forum-Beiträge: 1.077

27.12.2017, 19:30:29 via Website

Wenn Du im Playstore Paypal als Zahlungsmethode auswählst, stimmst Du zu, dass diese Zahlungsmethode auch bei zukünftigen Zahlungen verwendet wird. Deshalb habe ich das nicht gemacht, ich möchte auch jede Zahlung einzeln authorisieren. Möglich, dass Du eine Art Einzugsermächtigung für Dein Paypalkonto erteilst, oder ein zweites Passwort einrichtest, z.B. mit der Imei.
Im Playstore kannst Du Zahlungsmethoden hinzufügen, vielleicht lassen sie sich dort auch wieder entfernen.

— geändert am 27.12.2017, 19:33:51

Antworten
  • Forum-Beiträge: 452

28.12.2017, 10:04:04 via Website

Moin allerseits!

Erstmal danke für Eure Postings.
Also es werden tatsächlich Beträge abgebucht. Unmittelbar nach dem Kauf erhalte ich auch eine Bestätigungs-Mail auf meine Google Mailadresse, dass der Kauf abgeschlossen wurde.

Vor Wochen hatte ich mal einen Test gemacht, und zwar hatte ich das Passwort in meinem Paypal-Account geändert, anschließend habe ich versucht, ob ein Kauf anschließend noch möglich ist. Es war möglich! Ohne irgendeine Abfrage!

Ich habe heute Morgen mal in den Einstellungen von Sohnemanns Handy nachgeschaut, dort ist mein Paypal-Konto hinterlegt. Das kann es ja auch gerne sein, aber ich will trotzdem, dass bei einem Kauf nach einem Passwort gefragt wird.
Ob ich das beim allerersten Kauf damals im Smartphone abgespeichert hatte weiß ich nicht mehr. Aber selbst wenn es abgespeichert ist, darf doch der Kauf nicht funktionieren, wenn sich das Passwort geändert hat. Das neue Kennwort wurde jedenfalls definitiv nie im Handy meines Sohnes eingegeben oder abgefragt.

Desweiteren gibt es ja noch die Option "Authentifizierung für Käufe erforderlich", die ist bei ihm auf "Nie" eingestellt.

Aber trotzdem: Um von einem PayPal-Konto Geld abzubuchen, ist doch wohl definitiv ein Passwort erforderlich. Die Option "Authentifizierung für Käufe erforderlich" bezieht sich doch sicherlich darauf, ob das Kennwort abgefragt werden soll, oder ob das hinterlegte Kennwort automatisch verwendet werden soll.

Oder kann Google bei "Nie" ohne Kennwort auf PayPal zugreifen? Das wäre ja skandalös.

Bei seinem gestrigen Kauf musste er allerdings drei Mal auf den Kaufen-Button drücken, bis der Kauf akzeptiert wurde. Er sagt, bei den ersten beiden Versuchen sei eine Meldung erschienen, dass der Verbindungsaufbau zu Paypal gescheitert ist. Beim dritten Versucht hat es dann geklappt.

@Michael K.

Möglich, dass Du eine Art Einzugsermächtigung für Dein Paypalkonto erteilst, oder ein zweites Passwort einrichtest, z.B. mit der Imei.

Du meinst, dass die einfach abbuchen können, ohne Verifizierung per Passwort? Naja, geht ja bei einem Bankkonto auch. Man braucht nur die IBAN, und kann fröhlich abbuchen. Die IMEI kann damit nicht zusammenhängen, denn mein Sohn hat ein neues Handy und damit hat er den Kauf durchgeführt. Beim Einrichten des neuen Handys hatte ich übrigens keine neuen Zahlungsmethoden angegeben, das ist offenbar alles in den Kontoinformationen hinterlegt.

Ich werde mal versuchen, ob ich bei Google direkt dazu eine Information erhalte. Natürlich ließe sich das Problem lösen, indem ich einfach das Paypalkonto bei ihm lösche, aber ich möchte das erstmal klären.

Werde berichten.

Viele Grüße,

Björn

Antworten
  • Forum-Beiträge: 20.132

28.12.2017, 10:41:43 via Website

Björn Krüger

Ich habe heute Morgen mal in den Einstellungen von Sohnemanns Handy nachgeschaut, dort ist mein Paypal-Konto hinterlegt. Das kann es ja auch gerne sein, aber ich will trotzdem, dass bei einem Kauf nach einem Passwort gefragt wird.

Bei der ersten Nutzung von PayPal musst Du Dich per Benutzernamen und Passwort anmelden. Damit wird ein sogenanntes Authentifizierungs-Token erstellt. Ab jetzt reicht nur noch dieses Token, auch wenn Du Dein Passwort geändert hast. Ein solches Token kann eine Gültigkeit von wenigen Minuten bis unendlich haben. wird aber meistens ungültig, sobald man sich aktiv ausloggt.

Im Play Store kannst Du auch angeben, dass für jeden Kauf ein Passwort benötigt wird. Das findest Du unter "Einstellungen - Authentifizierung für Käufe erforderlich". Dort kannst Du wäjhlen, zwischen "Für alle Käufe bei Google Play auf diesem Gerät", "Alle 30 Minuten" und "Nie". Wenn Du hier "Für alle Käufe..." wählst, wird das Passwort für das Googlekonto abgefragt, nicht das für PayPal. Auf PayPal-Seite gilt weiterhin obiges.

Antworten
Pippi
  • Blogger
  • Forum-Beiträge: 7.663

28.12.2017, 10:46:42 via App

Danke Aries für die Info.
ich halte dieses Vorgehen für sehr gefährlich wie auch unglaublich in der heutigen Zeit.
wird man denn als PayPal Nutzer im Playstore irgendwann spezielle darauf hingewiesen?

Antworten
  • Forum-Beiträge: 20.132

28.12.2017, 11:01:16 via Website

Wer sich hier bei AP über Facebook oder Google anmeldet, nutzt genau das gleiche System. Das wurde als so supersicher eingeführt, ich halte es aber schon von Beginn an für Augenwischerei. Immerhin gewährt man einem Fremdsystem Zugang zu etwas. Die Unternehmen mögen seriös sein, aber nicht gilt das für alle deren Mitarbeiter? Oder kann nicht auch jemand mal auf dumme Gedanken kommen? Und was ist mit Hackern? Yahoo und Sony sind keine Leichtgewichte, waren aber bereits Opfer von riesigen Hacks. Es ist meiner Ansicht nur eine Frage der Zeit, bis Facebook und Google dran sind.

Und die ganzen Apps speichern auch Zugangsdaten. DIe können auch unbemerkt übertragen werden. Gerade Drittanbieter-Apps für bekannte Systeme können auch von Ganoven geschrieben sein.

Deshalb verzichte ich weitgehend auf Apps und nutze einen Passwort-Manager, damit ich für alles ein eigenes Passwort habe und somit nicht ein Hack von System A meine Logins in den Systemen B, C, D, E,... ZZZ ebenfalls kompromittiert.

Natürlich muss ich dann auf den Passwort-Manager Acht geben, Das ist aber einfacher, als auf elfundneuzig Logins Acht zu geben. Zudem ist ein System wie KeePass mit einem entsprechend komplexen Passwort ziemlich gut gesichert, sollte die Containerdatei doch mal in fremde Hände gelangen. Immerhin setzt die NSA auf das gleiche Verfahren für hochsensible Dokumente.

Zuletzt muss man die Tastaturen im Auge behalten. Die könnten nämlich die Passworte mitlesen, bevor die an die jeweilige App oder Website gegeben werden. Deshalb verzichte ich auf Swype und SwiftKey oder wie sie alle heißen. Alles zusätzliche Risiken, die man vermeiden kann. Denn auch hier gilt, nicht nur die Firma muss ehrlich sein, es darf auch keine Lücken geben - und das ist fast unmöglich.

Aber das geht jetzt ziemlich über das Thema hinaus.

Antworten
  • Forum-Beiträge: 452

28.12.2017, 11:49:44 via Website

OK, dann haben wir ja jetzt die Erklärung. Ich finde es ehrlich gesagt auch ziemlich gefährlich. Die Abfrage des Google-Passwortes ist ja nun kein Schutz im vorliegenden Fall, denn das kennt mein Sohn natürlich.

Bleibt wohl nichts anderes übrig, als die Zahlungmethode zu löschen, und jedes Mal, wenn er was kaufen will, neu einzugeben, und hinterher wieder zu löschen.

Ist aber nicht so schlimm, da er sowieso nur selten etwas im GooglePlay kauft.

Danke Euch allen für Eure Mühe und Eure Zeit!

Viele Grüße,

Björn

Antworten
  • Forum-Beiträge: 20.132

28.12.2017, 12:05:32 via Website

Ich persönlich zahle im Play Store nur per Guthabenkarte. Das löst natürlich auch nicht Dein Problem, wenn Dein Sohn das Passwort kennt.

Antworten
  • Forum-Beiträge: 452

28.12.2017, 12:06:03 via Website

Ich muss hier doch nochmal nachhaken.
Was, wenn jemand irgendwie an meine PayPal-Zugangsdaten kommt, und damit mein PayPal-Konto auf seinem Androiden als Zahlungsmethode einrichtet?
Er kann dann fleißig bis in alle Ewigkeit über mein Paypal-Konto im Google Playstore einkaufen, und ich habe NULL Möglichkeiten, das zu unterbinden. Selbst ein neues Passwort hilft ja nicht weiter.
Das kann doch nicht wahr sein!
Bin echt sprachlos und werde dazu mal direkt bei PayPal nachfragen.

Antworten
  • Forum-Beiträge: 452

28.12.2017, 12:08:22 via Website

@Aries
Da haben wir gleichzeitig geschrieben...
Was denn für eine Guthaben-Karte? Ich kenne das von iTunes oder auch von so Zahlmethoden wie Paysafe. Da kann man Karten bei Saturn oder auch im Supermarkt an der Kasse kaufen und mit Guthaben aufladen.
Gibt es sowas auch für den Google Playstore?
Oder was meinst Du?

Antworten
  • Forum-Beiträge: 20.132

28.12.2017, 12:11:40 via Website

Björn Krüger

Er kann dann fleißig bis in alle Ewigkeit über mein Paypal-Konto im Google Playstore einkaufen, und ich habe NULL Möglichkeiten, das zu unterbinden. Selbst ein neues Passwort hilft ja nicht weiter.

Nein, die Token - z.B. für die App - wirst Du in Deinem PayPal-Konto auch zurückziehen können.

Ja, es gibt auch Guthabenkarten für den Google Play Store. Gleich neben denen für iTunes und Paysafe. Das sind schwarze Karten.

image

— geändert am 28.12.2017, 12:14:23

Antworten
  • Forum-Beiträge: 52

28.12.2017, 12:24:22 via Website

Hi, ja die Karten gibt es an fast jeder Supermarktkasse.

oh Aris war schneller :D

— geändert am 28.12.2017, 12:26:07

Antworten
  • Forum-Beiträge: 452

28.12.2017, 13:32:04 via Website

Moin alle!

Kannste mal sehen, 100 mal dran vorbei gegangen, und nicht gesehen.
Das ist ja ideal für meinen Racker, kann er sich von seinem Taschengeld kaufen, und gut.

Und wie man das Token zurückzieht werde ich gleich mal versuchen, herauszubekommen.

Erstaunlich finde ich, dass das Token sogar den Umzug auf das neue Smartphone "überlebt" hat. Eingerichtet hatte ich das alles schon vor Monaten auf dem alten Handy, dann hat er sich zu Weihnachten ein neues gekauft, und dort habe ich nichts weiter gemacht, als sein Google-Konto anzugeben. Die Einstellungen im Playstore sind mit übernommen worden, offenbar auch das Token-Dingens.

Danke und viele Grüße,

Björn

Antworten
  • Forum-Beiträge: 1

25.01.2019, 10:14:26 via Website

Eigentlich ist die Lösung einfach - bei paypal kannst Du unter Einstellungen die Verbindung zu diesem google account mit einem Klick kündigen. Hat bei mir schnell und unkompliziert geklappt.

Antworten