Paypal je prilično popularan sistem plaćanja na mreži i sa velikim prihvatanjem u skoro svim zemljama, pored drugi sistemi plaćanja kao što je Google Pay prave link da bude u mogućnosti da plati sredstvima koja se nalaze na Paypal računima, koji zauzvrat, ako se ne računaju, uzima sredstva sa povezanih debitnih ili kreditnih kartica.
Ovo može biti malo zbunjujuće kada jednostavno možete platiti svojim karticama i to je to, ali mnogi ljudi radije plaćaju na ovaj način kako bi spriječili kloniranje svojih kartica ili jednostavno zato što ono što žele platiti ima tu mogućnost (obično online ).
Ali Čini se da je ovo stvorilo mnogo veći problem. toliko Ljudi su počeli da prijavljuju da su otkrili neovlašćena plaćanja sa svojim PayPal nalogom na raznim platformama, kao što su PayPal forumi ili Twitter, od kojih sve Izvještaji imaju zajedničko to što su svi koristili integraciju Google Paya sa PayPal-om.
Od ovog petka, 21. februara, transakcije koje ponekad prelaze hiljadu eura pojavljuju se u vašoj historiji PayPal-a, kao da su došle s vašeg Google Pay računa.
Jedna od žrtava na Tviteru je rekla da je primetila neobičnu kupovinu od tri para AirPods slušalica, za ekvivalent od 500 USD. Stoga je nemoguće otkazati kupovinu. Prema javnim izvještajima, šteta se trenutno procjenjuje na desetine hiljada eura.
Prema riječima Markusa Fenske, istraživač kibernetičke sigurnosti sa pseudonimom "iblue" na Twitteru, Hakeri su iskoristili propust u PayPal-ovoj integraciji Google Paya. Na Twitteru, stručnjak tvrdi da je upozorio kompaniju na postojanje kršenja u februaru 2019. godine, ali grupa to nije postavila kao prioritet.
Kada povežete PayPal račun sa Google Pay računom, PayPal kreira virtuelnu kreditnu karticu, sa svojim brojem kartice, rokom važenja i CVV-om, kaže Fenske.
«PayPal dozvoljava beskontaktno plaćanje putem Google Paya. Ako ga postavite, možete čitati detalje kartice virtualne kreditne kartice s mobilnog. Nije potrebna autentifikacija”, žali se Markus Fenske.
U ovim uslovima, Hakeri mogu prikupljati podatke sa virtuelnih kartica. Zahvaljujući ovim podacima, haker nema poteškoća u kupovini u trgovini na vašem računu.
Primaoci transakcija su često Target prodavnice, koji se u deklaracijama pominju u obliku «Cilja T-». Google pretraga prilično brzo identificira lokacije ovih različitih trgovina.
Istraživač je rekao da mogu postojati tri načina na koje napadač može doći do detalja virtuelne kartice.
Prvo, čitanjem podataka o kartici na korisnikovom telefonu ili ekranu. Drugo, zlonamjernim softverom koji inficira uređaj korisnika. Napokon pogoditi.
"Moglo bi biti moguće da je napadač jednostavno grubo unio broj kartice i datum isteka, koji je u rasponu od oko godinu dana", rekao je Fenske. “To ga čini prilično malim istraživačkim prostorom. I da pojasnimo da "CVC nije bitan", objašnjavajući da je "Sve prihvaćeno".
Čak i prije nego što je ranjivost iskorištena, hakeri su napravili članak o žalbama o tome kako PayPal postupa s pronađenim sigurnosnim rupama. lKritika je da PayPal nudi program nagrađivanja grešaka kroz HackerOne, ali ovo je čista fasada.
Autori članka su rekli da su prijavili nekoliko ranjivosti, ali odgovori PayPal-a bili su sve samo ne od pomoći. Na primjer, jedna od navedenih rupa vam omogućava da zaobiđete 2FA, druga vam omogućava da registrujete novi telefon bez PIN-a.
Fenske to vjeruje Harksovi su pronašli način da otkriju detalje ovih "virtuelnih kartica" i koriste podatke kartice za neovlaštene transakcije u američkim i njemačkim trgovinama (većina žrtava je u Njemačkoj).
Hvala na informacijama!
Volim ove vrste članaka, informativnih, o sigurnosti.