Paypal е популярна система за онлайн разплащания и с голямо приемане в почти всички страни в допълнение към други платежни системи като Google Pay правят връзка за да можете да плащате със средствата, намерени в Paypal сметките, които от своя страна, ако не се броят, взимат средствата от свързаните дебитни или кредитни карти.
Това може да е малко объркващо, когато можете просто да платите с картите си и това е всичко, но много хора предпочитат да извършват плащания по този начин, за да предотвратят клонирането на пластмасите им или просто защото това, което искат да платят, е толкова лесно (обикновено онлайн ).
Pero изглежда, че това е породило много по-голям проблем толкова много хората започнаха да докладват, че са открили неразрешени плащания с вашия акаунт в PayPal на различни платформи, като форуми на PayPal или Twitter, от които всички Общото между докладите е, че всички те са използвали интеграцията на Google Pay с PayPal.
От този петък, 21 февруари, транзакции, които понякога надвишават хиляда евро, се появяват в историята ви в PayPal, сякаш идват от вашия акаунт в Google Pay.
Една от жертвите в Twitter заяви, че е забелязала необичайна покупка от три чифта AirPods, за еквивалента на $ 500. Следователно е невъзможно да се откаже покупката. Понастоящем прогнозните щети са в десетки хиляди евро, според публични доклади.
Според Маркус Фенске, изследовател по киберсигурност с псевдонима "iblue" в Twitter, Хакерите използваха недостатък в интеграцията на Google Pay с PayPal. В Twitter експертът твърди, че е предупредил компанията за съществуването на нарушение през февруари 2019 г., но групата не го е определила като приоритет.
Когато акаунт в PayPal е свързан с акаунт в Google Pay, PayPal създава виртуална кредитна карта, със собствен номер на картата, срок на годност и CVV, казва Фенске.
«PayPal позволява безконтактни плащания чрез Google Pay. Ако го конфигурирате, можете да прочетете данните за картата на виртуална кредитна карта от мобилния телефон. Не е необходимо удостоверяване ”, съжалява Маркус Фенске.
При тези условия, хакерите могат да събират данни от виртуални карти. Благодарение на тези данни хакерът няма затруднения да прави покупки в магазина по своя акаунт.
Получателите на транзакции често са целеви магазини, които са посочени в декларации под формата „Цел Т-“. Търсене в Google доста бързо идентифицира местоположението на тези различни магазини.
Следователят каза, че може да има три начина, по които нападателят може да разбере подробностите на виртуална карта.
Първо, като прочетете данните за картата на телефона или екрана на потребителя. Второ, чрез злонамерен софтуер, заразяващ устройството на потребителя. Най-накрая го познах.
„Възможно е нападателят просто да принуди номера на картата и срока на годност, който е в рамките на около година“, каза Фенске. „Това го прави доста малко изследователско пространство. И да поясни, че „CVC няма значение“, като обясни, че „Всичко е прието“.
Дори преди уязвимостта да бъде използвана, хакерите направиха статия за жалбите относно боравенето с дупки в сигурността, открити от PayPal. LКритиката е, че PayPal предлага програма за награди грешка чрез HackerOne, но това е чиста фасада.
Авторите на статията казват, че съобщават за няколко уязвимости, но отговорите на PayPal са всичко друго, но не и полезни. Например, един от споменатите пропуски ви позволява да заобиколите 2FA, друг ви позволява да регистрирате нов телефон без ПИН.
Фенске вярва в това Хараките са намерили начин да открият подробностите за тези "виртуални карти" и те използват данните на картата за неразрешени транзакции в американски и немски магазини (повечето от жертвите са в Германия).
Благодаря за информацията!
Харесвам тези видове статии, информативни, относно сигурността.