A Paypal egy népszerű online fizetési rendszer és ezen kívül szinte minden országban nagy elfogadással más fizetési rendszerek, például a Google Pay linket hoznak létre a Paypal-számlákon található pénzeszközökkel történő fizetés érdekében, amely viszont ha nem számít bele, a kapcsolódó betéti vagy hitelkártyákról veszi el az alapokat.
Ez kissé zavaró lehet, ha egyszerűen fizethet a kártyáival, és ennyi, de sokan inkább ilyen módon fizetnek, hogy megakadályozzák műanyaguk klónozását, vagy egyszerűen azért, mert amit fizetni akarnak, ennek olyan egyszerűsége van (általában online ).
De úgy tűnik, hogy ez sokkal nagyobb problémát generált hogy sok az emberek elkezdték jelenteni, hogy jogosulatlan fizetéseket fedeztek fel PayPal-fiókjával különböző platformokon, például PayPal fórumokon vagy Twitteren, amelyek mindegyike A jelentésekben közös, hogy valamennyien a Google Pay és a PayPal integrációját használták.
Február 21., péntek óta néha ezer eurót meghaladó tranzakciók jelennek meg a PayPal-előzményekben, mintha a Google Pay-fiókjából érkeztek volna.
Az egyik áldozat a Twitteren azt mondta, hogy szokatlan vásárlásra lett figyelmes három AirPod-párból, 500 dollárnak megfelelő összegért. Ezért lehetetlen lemondani a vásárlást. A lakossági jelentések szerint a becsült kár jelenleg több tízezer euró.
Markus Fenske szerint kiberbiztonsági kutató "iblue" álnéven a Twitteren, A hackerek kihasználták a Google Pay és a PayPal integrációjának hibáját. A Twitteren a szakértő azt állítja, hogy 2019 februárjában figyelmeztette a vállalatot a jogsértés fennállására, de a csoport nem tette ezt prioritássá.
Amikor a PayPal-fiók összekapcsolódik egy Google Pay-fiókkal, A PayPal létrehoz egy virtuális hitelkártyát, saját kártyaszámmal, lejárati dátummal és CVV-vel - mondja Fenske.
«A PayPal lehetővé teszi az érintés nélküli fizetést a Google Pay-n keresztül. Ha konfigurálja, elolvashatja a virtuális hitelkártya adatait a mobilról. A hitelesítés nem szükséges ”- sajnálja Markus Fenske.
Ilyen körülmények között a hackerek virtuális kártyákról gyűjthetnek adatokat. Ezen adatoknak köszönhetően egy hackernek nincs nehézsége a számláján lévő boltban vásárolni.
A tranzakciók címzettjei gyakran Target üzletek, amelyekre a "Target T-" formátumú nyilatkozatok hivatkoznak. A Google-keresés meglehetősen gyorsan azonosítja e különböző üzletek helyét.
A nyomozó szerint háromféleképpen lehet megismerni a támadókat egy virtuális kártya.
Először a kártya adatainak elolvasásával a felhasználó telefonján vagy a képernyőn. Másodszor, a rosszindulatú programok megfertőzik a felhasználó készülékét. Végül kitalálta.
"Lehetséges, hogy a támadó egyszerűen kényszerítette a kártya számát és a lejárati dátumot, amely körülbelül egy év tartományba esik" - mondta Fenske. - Ez elég kicsi kutatási területté teszi. Annak tisztázása érdekében, hogy "a CVC nem számít", elmagyarázva, hogy "mindent elfogadunk".
Még a sebezhetőség kihasználása előtt hackerek cikket készítettek a panaszokról a PayPal által talált biztonsági rések kezeléséről. LA kritika az, hogy a PayPal jutalmazási programot kínál hiba a HackerOne-on keresztül, de ez tiszta homlokzat.
A cikk szerzői szerint több sebezhetőségről is beszámoltak, de a PayPal válaszai nem voltak hasznosak. Például az egyik említett rés lehetővé teszi a 2FA megkerülését, a másik lehetővé teszi új telefon regisztrálását PIN nélkül.
Fenske úgy véli a hagák megtalálták a módját, hogy felfedezzék ezen "virtuális kártyák" részleteit és a kártya adatait jogosulatlan tranzakciókhoz használják amerikai és német üzletekben (az áldozatok többsége Németországban van).
Köszi az infót!
Szeretem az ilyen típusú, informatív cikkeket a biztonságról.