Paypalは人気のあるオンライン支払いシステムです に加えて、ほぼすべての国で大いに受け入れられています GooglePayなどの他の支払いシステムはリンクを作成します Paypalアカウントにある資金で支払うために、Paypalアカウントは、カウントされない場合、リンクされたデビットカードまたはクレジットカードから資金を受け取ります。
これは、カードで簡単に支払うことができる場合は多少混乱する可能性がありますが、多くの人は、プラスチックが複製されるのを防ぐために、または単に支払いたいものが簡単であるという理由で、この方法で支払いを行うことを好みます(通常はオンライン) )。
しかし これははるかに大きな問題を引き起こしたようです その多く 人々は不正な支払いを発見したと報告し始めました PayPalフォーラムやTwitterなどのさまざまなプラットフォームでPayPalアカウントを使用します。 レポートには、すべてGooglePayとPayPalの統合を使用しているという共通点があります。
21月XNUMX日金曜日以降、XNUMXユーロを超えることがあるトランザクションは、GooglePayアカウントからのものであるかのようにPayPalの履歴に表示されます。
Twitterの被害者のXNUMX人は、異常な購入に気付いたと述べました AirPodの500つのペアのXNUMXドルに相当します。したがって、購入をキャンセルすることはできません。 公的な報告によると、推定被害額は現在数万ユーロにのぼります。
Markus Fenskeによると、 サイバーセキュリティ研究者 Twitterでエイリアス「iblue」を使用して、 ハッカーは、GooglePayとPayPalの統合の欠陥を悪用しました。 Twitterで、専門家は2019年XNUMX月に違反の存在を会社に警告したと主張していますが、グループはそれを優先していません。
PayPalアカウントがGooglePayアカウントにリンクされている場合、 PayPalは仮想クレジットカードを作成し、 自分のカード番号、有効期限、CVVを使って、Fenskeは言います。
«PayPalでは、GooglePayを介した非接触の支払いが可能です。 設定すると、モバイルから仮想クレジットカードのカード詳細を読み取ることができます。 認証は必要ありません」とMarkusFenskeは後悔しています。
これらの条件では、 ハッカーは仮想カードからデータを収集できます。 このデータのおかげで、ハッカーは自分のアカウントでストアで購入するのに問題はありません。
トランザクションの受信者は、多くの場合、ターゲットストアです、「ターゲットT-」の形式の宣言で参照されます。 Google検索では、これらのさまざまな店舗の場所をかなり迅速に特定します。
調査員は、攻撃者が詳細を入手する方法はXNUMXつある可能性があると述べました 仮想カードの。
まず、ユーザーの電話または画面でカードの詳細を読み取ります。 第二に、ユーザーのデバイスに感染するマルウェアによる。 最後にそれを推測します。
「攻撃者が単にカード番号と有効期限を強制した可能性があります。これは約XNUMX年の範囲です」とFenske氏は述べています。 「これにより、非常に小さな研究スペースになります。 そして、「CVCは重要ではない」ことを明確にし、「すべてが受け入れられる」ことを説明します。
脆弱性が悪用される前でさえ、 ハッカーは苦情についての記事を作りました PayPalによって発見されたセキュリティホールの処理について。 L批判は、PayPalが報酬プログラムを提供しているということです HackerOneによるエラー、 しかし、これは純粋なファサードです。
記事の著者は、いくつかの脆弱性を報告したと述べましたが、PayPalの回答は役に立たなかった。 たとえば、前述のギャップの2つでは、XNUMXFAをバイパスでき、別のギャップでは、PINなしで新しい電話を登録できます。
Fenskeはそれを信じています Hagaksは、これらの「仮想カード」の詳細を発見する方法を見つけました そして彼らはアメリカとドイツの店での不正取引にカードの詳細を使用しています(犠牲者のほとんどはドイツにいます)。
情報をありがとう!
私はセキュリティについての有益なこれらのタイプの記事が好きです。