Paypal és un sistema de pagaments en línia bastant popular i amb molta acceptació en gairebé tots els països a més de que altres sistemes de pagament com Google Pay realitzen una vinculació per poder pagar amb els fons que es troben en els comptes de Paypal, que al seu torn en cas de no comptar pren els fons de la targeta de dèbit o crèdit vinculades.
Això pot resultar una mica enredat quan simplement pots pagar amb les targetes i ja, però moltes persones prefereixen fer pagaments d'aquesta manera amb la finalitat d'evitar que els seus plàstics siguin clonats o simplement per que el que volen pagar compta amb aquesta facilitat (generalment en línia ).
Però tal sembla que això ha generat un problema molt més gran que moltes persones han començat a informar que han descobert pagaments no autoritzats amb el seu compte de PayPal en diverses plataformes, com fòrums de PayPal o Twitter, dels quals tots els informes tenen en comú que tots van utilitzar la integració de Google Pay amb PayPal.
Des d'aquest divendres 21 de febrer, les transaccions que de vegades superen els mil euros apareixen en el seu historial de PayPal, com si vinguessin del seu compte de Google Pay.
Una de les víctimes a Twitter va dir que havia notat una compra inusual de tres parells de AirPods, per l'equivalent a $ 500. Per tant, és impossible cancel·lar la compra. Els danys estimats són actualment de desenes de milers d'euros, segons informes públics.
Segons Markus Fenske, un investigador de ciberseguretat amb l'àlies «iBlue» a Twitter, els hackers van explotar una falla en la integració de Google Pay a PayPal. A Twitter, l'expert afirma haver advertit a l'empresa de l'existència d'una violació al febrer de 2019, però el grup no l'ha convertit en una prioritat.
Quan es vincula un compte de PayPal a un compte de Google Pay, PayPal crea una targeta de crèdit virtual, amb el seu propi número de targeta, data de venciment i CVV, diu Fenske.
«PayPal permet pagaments sense contacte a través de Google Pay. Si el configura, pot llegir els detalls de la targeta d'una targeta de crèdit virtual des del mòbil. No es requereix autenticació «, lamenta Markus Fenske.
En aquestes condicions, els hackers poden recopilar les dades de les targetes virtuals. Gràcies a aquestes dades, un hacker no té dificultats per a realitzar compres a la botiga al seu compte.
Els destinataris de les transaccions són sovint botigues Target, A les quals es fa referència en declaracions a la forma «Target T-«. Una cerca a Google s'identifica amb força rapidesa la ubicació d'aquestes diferents botigues.
L'investigador va dir que podria haver-hi tres formes en què un atacant podria obtenir els detalls d'una targeta virtual.
Primer, llegint els detalls de la targeta al telèfon o la pantalla d'un usuari. En segon lloc, per malware que infecta el dispositiu d'un usuari. Finalment endevinant.
«Podria ser possible que l'atacant simplement forcés el número de targeta i la data de venciment, que està en el rang d'aproximadament un any», va dir Fenske. «Això el converteix en un espai de recerca bastant petit. I per aclarir que «El CVC no importa», explicant que «Tot està acceptat».
Fins i tot abans que es explotés la vulnerabilitat, els hackers van fer un article sobre les queixes sobre el maneig dels forats de seguretat trobats per PayPal. La crítica és que PayPal ofereix un programa de recompenses d'errors a través de HackerOne, però aquesta és una façana pura.
Els autors de l'article van dir que van informar diverses vulnerabilitats, però les respostes de PayPal van ser de tot menys útils. Per exemple, un dels buits esmentats permet ometre 2FA, un altre permet registrar un nou telèfon sense un PIN.
Fenske creu que els hacerks han trobat una manera de descobrir els detalls d'aquestes «targetes virtuals» i estan utilitzant els detalls de la targeta per a transaccions no autoritzades en botigues nord-americanes i alemanyes (la majoria de les víctimes són a Alemanya).
Gràcies per la info!
M'agrada aquest tipus d'articles, informatius, sobre seguretat.