Gameforge bucht unberechtigt Geld via PayPal ab?

Man sieht und list ja immer wieder mal in den Nachrichten, von diesen oder jenen Internettricks, um an Geld zu kommen. Das ich aber mal selber Opfer werde hätte ich nicht Gedacht…

So bekam ich doch heute Morgen eine Email von Paypal mit folgendem Inhalt:

Aus Sicherheitsgründen achten wir stets auf verdächtige Aktivitäten. Kürzlich haben wir eine Unregelmäßigkeit bei Ihrem Konto festgestellt… []

Zunächst einmal, Schock! Bitte was?? Pflugs eingeloggt, was sehe ich? Es wurden 49,99€ von einer Gameforge Productions GmbH abgebucht und am gleichen Tag eine Rücklastschrift über genannten Betrag.

Ist also nochmal gut gegangen, könnte man meinen…

Zunächst einmal habe ich natürlich alle Passwörter geändert, hinterlegte Kreditkarte und Bankverbindung gelöscht, Sicherheitsschlüssel und PIN aktiviert. Ok, das hat mich erstmal ein bisschen beruhigt. Aber jetzt sehen wir mal weiter, wie so etwas passieren konnte …

Eine Abbuchung ist nur mit meinem Passwort möglich (zumindest meines Wissens)! Sprich, die Firma muss irgendwie an mein Passwort gekommen sein. Brute-Force, sprich das ausprobieren von Passwörtern, ist gemäß allen Gesetzen der Statistik doch seeeehr unwahrscheinlich, also muss auf deren Portal oder einem weiteren Portal auf das Gameforge Zugriff hat, Passwörter in Klartext gespeichert werden und nicht wie allgemein üblich, nur dessen MD5-Hash. Eines dieser Passwörter war mein Paypal Account Passwort. Zugegeben idiotisch von mir, aber wer vergibt schon immer bei jeder Seite ein neues Passwort? Eine menschliche Schwäche also, die man sich durchaus zu nutzen machen kann.

Schauen wir mal weiter, ob ich der einzige bin mit diesem Problem. Hier gibt es z.B. ein Forum, in dem etliche ebenfalls Betroffene darüber berichten:
Unberechtigte Paypal Zahlungen. Unter anderem haben dort auch schon einige Anzeige erstattet, welche aber im Sande verlaufen sind. Zitat: „nach nen paar monaten bekommst du nen brief, mit der information, dass der fall eingestellt wurde“.

Also, was tun? Schwamm drüber, mir ist ja kein Schaden enstanden, eine Anzeige? Aber nicht sogar eine Strafanzeige wegen versuchten Betruges und dem Ausspähen von Daten? Wobei ich an dieser Stelle hinzufügen muss, dass meine Jurakenntnisse zu bescheiden sind, um die exakte Anklageformulierung hier zu gewährleisten. Ich wüßte aber wie gesagt nicht, dass es möglich ist eine Abbuchung vorzunehmen ohne mein Passwort zu kennen. Cogito, müssen Daten ausgespäht worden sein. Zum Zweck der betrügerischen Abbuchung muss natürlich erst noch bewiesen werden, klaro. Aber die Tatsache das hier eine Abbuchung vorgenommen werden ist, sollte meiner Meinung nach mehr als nur ein Indiz sein. Warum das Verfahren wie oben erwähnt jedoch eingestellt wurde, ist mir ein Rätsel. Muss ich mal meinen Anwalt fragen…

UPDATE 23.März 2010:

Folgender Hinweis ist von Gameforge bei mir persönlich eingegangen:

Bitte gehen Sie zur Polizei und erstatten Anzeige. Wir speichern bei Bezahlvorgängen die IP Adressen mit ab, sollte derjenige, der mit Ihren Accountdaten bei uns bestellt hat aus Deutschland oder dem EU Ausland kommen, gibt es keinen Grund, dass dieses Verfahren eingestellt wird. Im Gegenteil, in dem überwiegenden Teil der Fälle ist der Täter sehr schnell ermittelt. Ich kann Ihnen von unserer Seite versichern, dass wir da gerne eng und schnell mit den Ermittlungsbehörden zusammenarbeiten.
Bitte geben sie bei der Anzeige Ihren Paypal Account zwingend mit an. […]
Oft wird bei einem Paypal Hack die zugehoerige Mailadresse ebenfalls gehackt, auch hier unbedingt das Passwort ändern. Wir tauchen da in letzter Zeit in einigen Blogs auf. Dies lässt sich schlicht aus der Masse unserer Zahlvorgänge erklären. Wir sind mit über 100 Millionen Spielern doch recht gross, unsere Spiele sind zwar generell kostenlos, jedoch kann man mit realem Geld virtuelle Gegenstände bei uns kaufen. Wählt einer unserer Spieler den Zahlweg Paypal aus, wird dieser direkt weiter auf eine Paypalseite gelinkt, dort findet die Authorisierung über Mailadresse und Passwort statt und wir erhalten die Meldung, dass die Zahlung über Betrag X ausgeführt wurde. Da ein solcher Vorgang eine Straftat darstellt, benötigen Sie hier keinen Anwalt. Der gesamte Fall wird dann von der Staatsanwaltschaft ermittelt.