पेपैल एक बहुत लोकप्रिय ऑनलाइन भुगतान प्रणाली है और इसके अलावा लगभग सभी देशों में महान स्वीकृति के साथ अन्य भुगतान प्रणाली जैसे Google पे एक लिंक बनाते हैं पेपैल खातों में पाए गए धन के साथ भुगतान करने के लिए, जो बदले में, यदि गिना नहीं जाता है, तो धन को लिंक किए गए डेबिट या क्रेडिट कार्ड से लेता है।
यह कुछ हद तक भ्रामक हो सकता है जब आप बस अपने कार्ड के साथ भुगतान कर सकते हैं और यह बात है, लेकिन बहुत से लोग इस तरह से भुगतान करना पसंद करते हैं ताकि उनके प्लास्टिक को क्लोन करने से रोका जा सके या सिर्फ इसलिए कि वे उस आसानी से (आमतौर पर ऑनलाइन के साथ गिनती करना चाहते हैं) ) का है।
लेकिन ऐसा लगता है कि इससे बहुत बड़ी समस्या उत्पन्न हो गई है इतने सारे लोगों ने रिपोर्ट करना शुरू कर दिया है कि उन्होंने अनधिकृत भुगतानों की खोज की है अपने पेपाल खाते के साथ विभिन्न प्लेटफार्मों पर, जैसे कि पेपल फोरम या ट्विटर, जिनमें से सभी रिपोर्टों में आम है कि वे सभी पेपाल के साथ Google पे एकीकरण का उपयोग करते थे।
इस शुक्रवार, 21 फरवरी से, आपके पेपाल इतिहास में कभी-कभी एक हज़ार यूरो से अधिक का लेन-देन दिखाई देता है, जैसे कि वे आपके Google पे खाते से आए हों।
ट्विटर पर पीड़ितों में से एक ने कहा कि उसने एक असामान्य खरीद पर ध्यान दिया है एयरपॉड्स के तीन जोड़े, $ 500 के बराबर के लिए। इसलिए, खरीद को रद्द करना असंभव है। सार्वजनिक रिपोर्टों के अनुसार अनुमानित नुकसान वर्तमान में हजारों यूरो के दसियों में हैं।
मार्कस फेंसके के अनुसार, एक साइबर सुरक्षा शोधकर्ता ट्विटर पर उर्फ "भतीजी" के साथ, हैकर्स ने पेपाल के साथ Google पे एकीकरण में एक दोष का फायदा उठाया। ट्विटर पर, विशेषज्ञ का दावा है कि कंपनी ने फरवरी 2019 में एक उल्लंघन के अस्तित्व की चेतावनी दी है, लेकिन समूह ने इसे प्राथमिकता नहीं दी है।
जब एक PayPal खाता Google पे खाते से जुड़ा होता है, पेपैल एक आभासी क्रेडिट कार्ड बनाता है, अपने खुद के कार्ड नंबर, समाप्ति तिथि और CVV के साथ, Fenske कहते हैं।
«पेपैल Google पे के माध्यम से संपर्क रहित भुगतान की अनुमति देता है। यदि आप इसे कॉन्फ़िगर करते हैं, तो आप मोबाइल से वर्चुअल क्रेडिट कार्ड का कार्ड विवरण पढ़ सकते हैं। प्रमाणीकरण की आवश्यकता नहीं है ”, मार्कस फेंसके को खेद है।
इन स्थितियों में, हैकर्स वर्चुअल कार्ड से डेटा एकत्र कर सकते हैं। इस डेटा के लिए धन्यवाद, एक हैकर को अपने खाते में स्टोर में खरीदारी करने में कोई कठिनाई नहीं होती है।
लेन-देन के प्राप्तकर्ता अक्सर लक्षित स्टोर होते हैं, जो "लक्ष्य T-" के रूप में घोषणाओं में संदर्भित हैं। Google खोज इन अलग-अलग दुकानों के स्थान को बहुत तेज़ी से पहचानती है।
जांचकर्ता ने कहा कि हमलावर के विवरण प्राप्त करने के तीन तरीके हो सकते हैं एक आभासी कार्ड की।
सबसे पहले, उपयोगकर्ता के फोन या स्क्रीन पर कार्ड का विवरण पढ़कर। दूसरा, मैलवेयर द्वारा किसी उपयोगकर्ता के उपकरण को संक्रमित करना। अंत में अनुमान लगा रहा है।
"यह संभव हो सकता है कि हमलावर ने कार्ड नंबर और समाप्ति की तारीख को मजबूर किया, जो लगभग एक वर्ष की सीमा में है," फेंसके ने कहा। 'यह इसे काफी छोटा शोध स्थान बनाता है। और यह स्पष्ट करने के लिए कि "सीवीसी कोई फर्क नहीं पड़ता", यह समझाते हुए कि "सब कुछ स्वीकार किया जाता है।"
भेद्यता का शोषण होने से पहले ही, हैकर्स ने शिकायतों के बारे में एक लेख बनाया पेपाल द्वारा पाए जाने वाले सुरक्षा छेदों को संभालने पर। एलआलोचना यह है कि पेपाल एक पुरस्कार कार्यक्रम प्रदान करता है HackerOne के माध्यम से त्रुटि, लेकिन यह एक शुद्ध मुखौटा है।
लेख के लेखकों ने कहा कि उन्होंने कई कमजोरियों की सूचना दी है, लेकिन पेपाल की प्रतिक्रियाएं कुछ भी थीं लेकिन सहायक थीं। उदाहरण के लिए, वर्णित अंतराल में से एक आपको 2FA को बायपास करने की अनुमति देता है, दूसरा आपको बिना पिन के एक नया फोन पंजीकृत करने की अनुमति देता है।
फेंसके का मानना है कि हागकों ने इन "वर्चुअल कार्ड" के विवरणों की खोज करने का एक तरीका खोज लिया है और वे अमेरिकी और जर्मन दुकानों में अनधिकृत लेनदेन के लिए कार्ड विवरण का उपयोग कर रहे हैं (पीड़ितों में से अधिकांश जर्मनी में हैं)।
जानकारी के लिए धन्यवाद!
मुझे इस प्रकार के लेख पसंद हैं, जानकारीपूर्ण, सुरक्षा के बारे में।