[Brisant] Problem bei PayPal-Express durch änderbare Rechnungssumme

RatedR · 23.07.14, 18:17

Zitat:

Der Online-Zahldienst Paypal bietet bei Nutzung der Option Express-Kauf ein unerwartetes Feature: Die angezeigte Summe lässt sich nachträglich durch den Verkäufer abändern. Somit wären Betrügern Tür und Tor geöffnet - man sollte also sehr wachsam sein, wenn man den Service nutzt.
Wie Heise online heute berichtet, ist diese für den Kunden unerwünschte Möglichkeit der Preiskorrektur allerdings kein Bug, wie zunächst vermutet. Es soll laut Paypal-Pressesprecherin eine Art Zusatzfunktion für den Händler darstellen, um beim Express-Kauf noch zusätzliche Leistungen abrechnen zu können. Entdeckt hatte diese unerwartete Möglichkeit Jan Kechel, der auf einer eigens dafür angelegten Webseite das Problem demonstriert.

Abbuchungsgenehmigung
Das Ganze funktioniert so: Zunächst wird der Kunde auf der Paypal-Seite umgeleitet und sieht dort eine Zahlungssumme zur Bestätigung. Nun geht man im Allgemeinen davon aus, dass es nach der Bestätigung durch den Kunden keinerlei Möglichkeiten für eine Änderung geben dürfte - dem ist aber hierbei nicht so. Beim Express-Kauf erhält der Verkäufer eine Abbuchungsgenehmigung, die aber anders ausfallen kann, wie die dem Kunden zunächst bei Paypal angezeigte und durch ihn bestätigte Summe.

Heise online hat bei Paypal nachgefragt und folgende Antwort von der PayPal-Sprecherin Sabrina Winter erhalten:

"Bei dem von Jan Kechel über das Programm PayPal Bug Bounty gemeldeten Hinweis handelt es sich nicht um einen Fehler oder eine Schwachstelle im PayPal-System. Zwischen dem Auslösen einer Zahlung per PayPal und dem Abschluss des Bezahlvorgangs kann es zu Änderungen kommen, die sich auf den vom Käufer zu zahlenden Gesamtbetrag auswirken und es deshalb erforderlich machen, dass der Händler den finalen Gesamtpreis anpasst. Ein Beispiel für eine solche Änderung ist die Zahl der gekauften Artikel, das hießt dem Warenkorb neu hinzugefügte Artikel oder eine Erhöhung der Anzahl von bereits im Warenkorb liegenden Artikeln. Ein anderes Beispiel sind Änderungen der Versandart. Entscheidet sich der Kunde beispielsweise für eine teurere Versandmethode oder ergeben sich aus der übermittelten Lieferanschrift Änderungen der Versandkonditionen, so können sich die Versandkosten entsprechend erhöhen. Händler passen in diesen Fällen den vom Kunden zu zahlenden Gesamtbetrag entsprechend an."

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]