Paypal minangka sistem pembayaran online sing populer banget lan kanthi panriman gedhe ing meh kabeh negara saliyane sistem pembayaran liyane kayata Google Pay nggawe link supaya bisa mbayar dana sing ditemokake ing akun Paypal, sing yen ora dietung, njupuk dana saka debit utawa kertu kredit sing gegandhengan.
Iki bisa uga mbingungake yen sampeyan mung bisa mbayar nganggo kertu lan wis dadi, nanging akeh wong sing seneng mbayar kanthi cara iki supaya plastik ora dikloning utawa mung amarga sing pengin dibayar duwe kemudahan (biasane online) .
Nanging misale jek iki ngasilake masalah sing luwih gedhe sing akeh masarakat wiwit nglaporake manawa wis nemokake pambayaran sing ora sah nganggo akun PayPal ing macem-macem platform, kayata forum PayPal utawa Twitter, sing kabeh ana Laporan kasebut umum padha kabeh nggunakake integrasi Google Pay karo PayPal.
Wiwit dina Jumuah 21 Februari iki, transaksi sing kadhang ngluwihi ewu euro katon ing riwayat PayPal, kaya-kaya saka akun Google Pay.
Salah sawijining korban ing Twitter ujar manawa dheweke wis ngerteni tuku sing ora biasa saka telung pasang AirPods, sing padha karo $ 500. Mula, mokal bisa mbatalake tuku. Perkiraan kerusakan saiki ana ing puluhan ewu euro, miturut laporan umum.
Miturut Markus Fenske, panliti keamanan siber karo alias "iblue" ing Twitter, Peretas ngeksploitasi cacat ing integrasi Google Pay karo PayPal. Ing Twitter, ahli kasebut negesake wis ngelingake perusahaan kasebut babagan anane pelanggaran ing Februari 2019, nanging klompok kasebut ora dadi prioritas.
Nalika akun PayPal disambung karo akun Google Pay, PayPal nggawe kertu kredit virtual, karo nomer kertu sampeyan dhewe, tanggal kedaluwarsa lan CVV, ujare Fenske.
«PayPal ngidini pembayaran tanpa kontak liwat Google Pay. Yen sampeyan ngatur, sampeyan bisa maca rincian kertu kertu kredit virtual saka ponsel. Otentikasi ora dibutuhake, "ujare Markus Fenske.
Ing kahanan kasebut, peretas bisa nglumpukake data saka kertu virtual. Thanks kanggo data iki, peretas ora kangelan tuku ing toko ing akun kasebut.
Sing nampa transaksi asring dadi Target, dirujuk ing deklarasi ing bentuk "Target T-". Panelusuran Google ngidentifikasi lokasi toko kasebut kanthi cepet.
Penyelidik ujar manawa ana telung cara panyerang bisa entuk rincian kasebut saka kertu virtual.
Kaping pisanan, kanthi maca rincian kertu ing telpon utawa layar pangguna. Kapindho, kanthi malware nginfeksi piranti pangguna. Akhire ngiro-iro.
"Bisa uga penyerang mung meksa nomer kertu lan tanggal kadaluwarsa, sing udakara udakara setaun," ujare Fenske. 'Iki nggawe ruang riset sing sithik. Lan kanggo njlentrehake manawa "CVC ora masalah", nerangake manawa "Kabeh ditampa."
Malah sadurunge kerentanan dieksploitasi, peretas nggawe artikel babagan keluhan kasebut babagan nangani bolongan keamanan sing ditemokake PayPal. LKritik kasebut yaiku PayPal nawakake program hadiah kesalahan liwat HackerOne, nanging iki minangka fasad murni.
Panulis artikel ujar manawa dheweke nglaporake sawetara kerentanan, nanging tanggepan PayPal ora ana gunane. Contone, salah sawijining kesenjangan sing disebutake ngidini sampeyan ngliwati 2FA, sing liyane ngidini sampeyan ndhaptar telpon anyar tanpa PIN.
Fenske percaya yen harak wis nemokake cara kanggo nemokake rincian "kertu virtual" kasebut lan dheweke nggunakake rincian kertu kanggo transaksi sing ora sah ing toko Amerika lan Jerman (umume korban ana ing Jerman).
2 komentar, tinggalake sampeyan
Matur nuwun kanggo info!
Aku seneng jinis artikel iki, informasi, babagan keamanan.