Το Paypal είναι ένα πολύ δημοφιλές ηλεκτρονικό σύστημα πληρωμών και με μεγάλη αποδοχή σε όλες σχεδόν τις χώρες εκτός από άλλα συστήματα πληρωμών όπως το Google Pay κάνουν έναν σύνδεσμο για να μπορέσετε να πληρώσετε με τα χρήματα που βρίσκονται στους λογαριασμούς Paypal, τα οποία με τη σειρά τους, εάν δεν μετρηθούν, παίρνουν τα χρήματα από τις συνδεδεμένες χρεωστικές ή πιστωτικές κάρτες.
Αυτό μπορεί να είναι κάπως συγκεχυμένο όταν μπορείτε απλά να πληρώσετε με τις κάρτες σας και αυτό είναι, αλλά πολλοί άνθρωποι προτιμούν να κάνουν πληρωμές με αυτόν τον τρόπο, προκειμένου να αποφευχθεί η κλωνοποίηση των πλαστικών τους ή απλώς και μόνο επειδή αυτό που θέλουν να πληρώσουν μετράει με αυτή την ευκολία (γενικά στο διαδίκτυο ).
Αλλά φαίνεται ότι αυτό έχει δημιουργήσει ένα πολύ μεγαλύτερο πρόβλημα τόσα πολλα άτομα έχουν αρχίσει να αναφέρουν ότι έχουν ανακαλύψει μη εξουσιοδοτημένες πληρωμές με τον λογαριασμό σας PayPal σε διάφορες πλατφόρμες, όπως φόρουμ PayPal ή Twitter, από τα οποία όλα Οι αναφορές έχουν κοινό ότι όλες χρησιμοποίησαν την ενοποίηση του Google Pay με το PayPal.
Από αυτήν την Παρασκευή 21 Φεβρουαρίου, συναλλαγές που μερικές φορές υπερβαίνουν τα χίλια ευρώ εμφανίζονται στο ιστορικό PayPal, σαν να προέρχονται από τον λογαριασμό σας στο Google Pay.
Ένα από τα θύματα στο Twitter είπε ότι είχε παρατηρήσει μια ασυνήθιστη αγορά από τρία ζεύγη AirPods, με το αντίστοιχο των $ 500. Επομένως, είναι αδύνατο να ακυρωθεί η αγορά. Οι εκτιμώμενες ζημιές είναι επί του παρόντος σε δεκάδες χιλιάδες ευρώ, σύμφωνα με δημόσιες εκθέσεις.
Σύμφωνα με τον Markus Fenske, ερευνητής ασφάλειας στον κυβερνοχώρο με το ψευδώνυμο "iblue" στο Twitter, Οι χάκερ εκμεταλλεύτηκαν ένα ελάττωμα στην ενοποίηση του Google Pay με το PayPal. Στο Twitter, ο ειδικός ισχυρίζεται ότι προειδοποίησε την εταιρεία για την ύπαρξη παραβίασης τον Φεβρουάριο του 2019, αλλά η ομάδα δεν την έδωσε προτεραιότητα.
Όταν ένας λογαριασμός PayPal συνδέεται με έναν λογαριασμό Google Pay, Το PayPal δημιουργεί μια εικονική πιστωτική κάρτα, με τον δικό σας αριθμό κάρτας, ημερομηνία λήξης και CVV, λέει ο Fenske.
«Το PayPal επιτρέπει ανεπαφικές πληρωμές μέσω του Google Pay. Εάν το διαμορφώσετε, μπορείτε να διαβάσετε τα στοιχεία της κάρτας μιας εικονικής πιστωτικής κάρτας από το κινητό. Δεν απαιτείται έλεγχος ταυτότητας », θρηνεί ο Markus Fenske.
Υπό αυτές τις συνθήκες, οι χάκερ μπορούν να συλλέγουν δεδομένα από εικονικές κάρτες. Χάρη σε αυτά τα δεδομένα, ένας εισβολέας δεν δυσκολεύεται να πραγματοποιήσει αγορές στο κατάστημα του λογαριασμού του.
Οι παραλήπτες συναλλαγών είναι συχνά καταστήματα προορισμού, οι οποίες αναφέρονται σε δηλώσεις με τη μορφή "Στόχος T-". Μια αναζήτηση Google προσδιορίζει αρκετά γρήγορα τη θέση αυτών των διαφορετικών καταστημάτων.
Ο ερευνητής είπε ότι θα μπορούσαν να υπάρχουν τρεις τρόποι που ένας εισβολέας θα μπορούσε να πάρει τις λεπτομέρειες μιας εικονικής κάρτας.
Πρώτον, διαβάζοντας τα στοιχεία της κάρτας στο τηλέφωνο ή στην οθόνη ενός χρήστη. Δεύτερον, από κακόβουλο λογισμικό που μολύνει τη συσκευή ενός χρήστη. Τελικά το μαντέψω.
"Θα μπορούσε να είναι ότι ο εισβολέας απλώς ανάγκασε τον αριθμό της κάρτας και την ημερομηνία λήξης, η οποία είναι στο εύρος περίπου ενός έτους", δήλωσε ο Fenske. «Αυτό το καθιστά αρκετά μικρό ερευνητικό χώρο. Και για να διευκρινιστεί ότι "το CVC δεν έχει σημασία", εξηγώντας ότι "Όλα γίνονται αποδεκτά."
Ακόμη και πριν αξιοποιηθεί η ευπάθεια, οι χάκερ έκαναν ένα άρθρο σχετικά με τα παράπονα για το χειρισμό τρυπών ασφαλείας που βρέθηκαν από το PayPal. μεγάλοΗ κριτική είναι ότι το PayPal προσφέρει ένα πρόγραμμα ανταμοιβών σφάλμα μέσω HackerOne, αλλά αυτή είναι μια καθαρή πρόσοψη.
Οι συγγραφείς του άρθρου είπαν ότι ανέφεραν πολλές ευπάθειες, αλλά οι απαντήσεις του PayPal δεν ήταν παρά χρήσιμες. Για παράδειγμα, ένα από τα κενά που αναφέρονται σάς επιτρέπει να παρακάμψετε το 2FA, ένα άλλο σας επιτρέπει να εγγράψετε ένα νέο τηλέφωνο χωρίς PIN.
Ο Fenske το πιστεύει αυτό οι Hagaks έχουν βρει έναν τρόπο να ανακαλύψουν τις λεπτομέρειες αυτών των "εικονικών καρτών" και χρησιμοποιούν τα στοιχεία της κάρτας για μη εξουσιοδοτημένες συναλλαγές σε αμερικανικά και γερμανικά καταστήματα (τα περισσότερα θύματα είναι στη Γερμανία).
Ευχαριστώ για τις πληροφορίες!
Μου αρέσουν αυτά τα είδη άρθρων, ενημερωτικά, σχετικά με την ασφάλεια.