Paypal est un système de paiement en ligne populaire et avec une grande acceptation dans presque tous les pays en plus de d'autres systèmes de paiement tels que Google Pay établissent un lien afin de payer avec les fonds trouvés dans les comptes Paypal, qui à leur tour, s'ils ne sont pas comptés, prélèvent les fonds des cartes de débit ou de crédit liées.
Cela peut être quelque peu déroutant lorsque vous pouvez simplement payer avec vos cartes et c'est tout, mais beaucoup de gens préfèrent effectuer des paiements de cette façon afin d'éviter que leurs plastiques ne soient clonés ou simplement parce que ce qu'ils veulent payer a cette facilité (généralement en ligne ).
Mais il semble que cela ait généré un problème beaucoup plus important autant les gens ont commencé à signaler qu'ils ont découvert des paiements non autorisés avec votre compte PayPal sur différentes plateformes, telles que les forums PayPal ou Twitter, qui Les rapports ont en commun qu'ils ont tous utilisé l'intégration de Google Pay avec PayPal.
Depuis ce vendredi 21 février, les transactions dépassant parfois le millier d'euros apparaissent dans votre historique PayPal, comme si elles provenaient de votre compte Google Pay.
Une des victimes sur Twitter a déclaré avoir remarqué un achat inhabituel de trois paires d'AirPod, pour l'équivalent de 500 $. Par conséquent, il est impossible d'annuler l'achat. Les dommages estimés se chiffrent actuellement à plusieurs dizaines de milliers d'euros, selon les rapports publics.
Selon Markus Fenske, un chercheur en cybersécurité avec l'alias "iblue" sur Twitter, Les pirates ont exploité une faille dans l'intégration de Google Pay avec PayPal. Sur Twitter, l'expert affirme avoir averti l'entreprise de l'existence d'une brèche en février 2019, mais le groupe n'en a pas fait une priorité.
Lorsqu'un compte PayPal est associé à un compte Google Pay, PayPal crée une carte de crédit virtuelle, avec votre propre numéro de carte, date d'expiration et CVV, dit Fenske.
«PayPal autorise les paiements sans contact via Google Pay. Si vous le configurez, vous pouvez lire les détails de la carte d'une carte de crédit virtuelle depuis le mobile. L'authentification n'est pas requise », regrette Markus Fenske.
Dans ces conditions, les pirates peuvent collecter des données à partir de cartes virtuelles. Grâce à ces données, un hacker n'a aucune difficulté à effectuer des achats dans la boutique sur son compte.
Les destinataires des transactions sont souvent des magasins cibles, qui sont référencés dans les déclarations sous la forme "Target T-". Une recherche Google identifie assez rapidement l'emplacement de ces différents magasins.
L'enquêteur a déclaré qu'il pouvait y avoir trois façons pour un attaquant d'obtenir les détails d'une carte virtuelle.
Tout d'abord, en lisant les détails de la carte sur le téléphone ou l'écran d'un utilisateur. Deuxièmement, par des logiciels malveillants infectant l'appareil d'un utilisateur. Enfin deviner.
"Il est possible que l'attaquant ait simplement forcé le numéro de la carte et la date d'expiration, ce qui est d'environ un an", a déclaré Fenske. «Cela en fait un espace de recherche assez restreint. Et de préciser que "le CVC n'a pas d'importance", expliquant que "tout est accepté".
Avant même que la vulnérabilité ne soit exploitée, les hackers ont fait un article sur les plaintes sur la gestion des failles de sécurité trouvées par PayPal. LLa critique est que PayPal propose un programme de récompenses erreur via HackerOne, mais c'est une pure façade.
Les auteurs de l'article ont déclaré avoir signalé plusieurs vulnérabilités, mais les réponses de PayPal étaient tout sauf utiles. Par exemple, l'une des lacunes mentionnées vous permet de contourner 2FA, une autre vous permet d'enregistrer un nouveau téléphone sans code PIN.
Fenske croit que les haraks ont trouvé un moyen de découvrir les détails de ces "cartes virtuelles" et ils utilisent les détails de la carte pour des transactions non autorisées dans des magasins américains et allemands (la plupart des victimes se trouvent en Allemagne).
Merci pour l'info!
J'aime ces types d'articles, informatifs, sur la sécurité.