Paypal-Irrsinn, Teil 2

Nach wie vor ist Paypal ein feiner Dienst, nach wie vor ist jedoch dessen Zuverlässigkeit in Frage zu stellen – wie nachfolgende kleine Geschichte zeigt.

Dabei sollten in einem uralten Paypal-Account eigentlich nur einmal aktualisierte Daten eingetragen werden – sprich, zugunsten (allein) von Paypal sollte die Sicherheit verbessert werden. Dumm nur, wenn nach dem (erfolglosen) Versuch eine neue Handy-Nummer einzutragen, man plötzlich von Paypal glatt ausgeschlossen wird, wo man doch eben noch mit demselben PC und demselben Browser direkt in Paypal drin war. Plötzlich steht man vor der Problematik, das Paypal einem nicht mehr glauben will, trotz korrektem Passwort – und dann darauf besteht, ausgerechnet an die alte Handy-Nummer, die man eigentlich jetzt mal herausnehmen wollte, eine Verzifizierungs-SMS zu schicken.

Da dies logischerweise nicht funktionieren konnte, wurde an dieser Stelle probiert, sich ein neues Passwort geben zu lassen – obwohl das alte Passwort einwandfrei korrekt war. Bei der Vergabe eines neuen Passworts fragte Paypal dann auch andere Sicherheits-Merkmale ab, wie die zwei Sicherheitsfragen (welche mit unknackbarem Kauderwelsch gefüllt waren) oder die Verzifizierung per eMail-Adresse. Dabei gab Paypal Wahlmöglichkeiten an, wie man sich verifizieren wollte, die Verifizierung per Telefonnummer konnte also gemäß des Paypal-eigenen System durch andere Verifizierungs-Maßnahmen übersprungen werden. Am Ende gestattet Paypal tatsächlich die Eingabe eines neuen Passworts – theoretisch konnte man also denken, man hätte sich nunmehr ausreichend genug verifiziert. Falsch gedacht – es kam abschließend nur die Meldung "Es ist ein Fehler aufgetreten" und alles ging wieder auf Anfang zurück.

Richtig interessant wurde es dann mit der Paypal-Hotline, für deren "Dienste" im übrigen ca. 17 Euro Telefongebühren draufgingen. Jene war logischerweise nicht in der Lage zu helfen, denn wenn ein Computer entscheidet, dann gibt es keine Möglichkeit mehr für Menschen, da irgendwie einzugreifen. Vermutlich Methode hatte dann die "Lösung" der Paypal-Hotline: Man sollte doch einfach eine Mail an die normale Service-eMail-Adresse schreiben und dort um Überweisung von dem einen (blockierten) Paypal-Konto auf ein anderes bitten. Auf den Einwand, das da ja schließlich jeder kommen könnte, gab es die Beruhigung, das dies sicher gelöst werden würde. Doch wie nicht anders zu erwarten, kam von der Service-eMail-Adresse nur eine englischsprachige Standard-Antwort zurück, welche ironischerweise Lösungswege für aller Art Probleme immer erst nach Einloggen in Paypal anbot. Das ganze hatte in diesem Augenblick durchaus eine Spur von dem Haus, was Verrückte macht.

Nach etwas Zurücklehnen & Nachdenken konnte jenes System dann aber dennoch (glücklicherweise) überlistet werden. Die Grundlage für das konkrete Problem lag wohl zuerst darin, das die ganze Aktion von einem anderen PC ausging, als wo üblicherweise mit Paypal gearbeitet wurde. Dies war augenscheinlich für das interne Scoring-System bei Paypal Anlaß genug, beim kleinsten weiteren Anlaß die Schotten komplett dicht zu machen. Ein nachfolgender Test auf dem normalerweise für diese Tätigkeit benutzten PC bestätigte diese These: Dort war dann ein problemloser Paypal-Zugriff möglich, ohne jeder zusätzlicher Verifikations-Maßnahme. Damit konnte dann wenigstens erst einmal die geplante Paypal-Transaktion abgeschlossen werden.

    Mitnehmen kann man aus dieser Episode mehrere Erkenntnisse:

  1. Es wird bei der Verifikation der Paypal-Nutzer keine Logik benutzt (Passwort & Sicherheitsfragen richtig = Einloggen wird zugelassen), sondern es entscheidet allein ein (automatisiertes) Scoring-System.
  2. Jenem Scoring-System ist der benutzte PC extrem wichtig, sprich das Einloggen von anderen PCs wird zum Vabanque-Spiel. Dies kann durchaus relevant werden, wenn man vor einer PC-Neuanschaffung steht – da sollten vorher alle anderen Identifikations-Daten in Paypal aktualisiert werden, wenn dann Paypal anfänglich dem neuen PC nicht trauen will.
  3. Unaktuelle Identifikations-Daten in Paypal sollte man zeitnah ändern – sprich, wenn noch Zugriff auf diese alte Gerätschaften (bspw. alte Telefonnummern) besteht. Wenn man solche Änderungen versucht, ohne das Zugriff auf diese alten Gerätschaften besteht, geht man das Risiko ein, eventuell exakt mit dieser Aktion nicht mehr in Paypal hineingelassen zu werden.
  4. Paypal-Hotline & der Kontakt per eMail sind verlorene Liebesmüh, eine Möglichkeit zur Hilfe ist dort augenscheinlich nicht einmal vorgesehen.

In der Summe bestätigt sich leider Paypal einmal mehr als unsichere Sache – wo das höhere Risiko darin besteht, von Paypal automatisiert ausgeschlossen zu werden, als denn irgendein Hacker sich in den eigenen Paypal-Account einhacken würde. Im Sinne dessen, das man Paypal durchaus genau dann brauchen könnte, wenn der Baum brennt, ergibt dies eigentlich keine Empfehlung zugunsten von Paypal – erstaunlich angesichts des Alters jenes Dienstes (gegründet immerhin schon 1998). Gebraucht wird Paypal dann leider doch hier und da, ergo muß man sich wohl oder übel mit den Eigenheiten des Dienstes arragieren.

PS: Teil 1 des Paypal-Irrsinns von anno 2012, wobei das dort geschilderte Problem hoffentlich inzwischen gelöst ist.

Kommentare – Registrierung ist nicht notwendig