Paypal ir populāra tiešsaistes maksājumu sistēma un ar lielu pieņemamību gandrīz visās valstīs papildus citas maksājumu sistēmas, piemēram, Google Pay, izveido saiti lai varētu norēķināties ar Paypal kontos atrodamajiem līdzekļiem, kas savukārt, ja tos neskaita, ņem līdzekļus no saistītajām debetkartēm vai kredītkartēm.
Tas var būt nedaudz mulsinošs, ja jūs varat vienkārši norēķināties ar kartēm, un viss, taču daudzi cilvēki dod priekšroku maksājumiem šādā veidā, lai novērstu plastmasas klonēšanu vai vienkārši tāpēc, ka tas, ko viņi vēlas maksāt, ir tik vienkārši (parasti tiešsaistē ).
Bet šķiet, ka tas ir radījis daudz lielāku problēmu ka daudzi cilvēki ir sākuši ziņot, ka ir atklājuši neautorizētus maksājumus ar savu PayPal kontu dažādās platformās, piemēram, PayPal forumos vai Twitter, no kuriem visi Pārskatos ir kopīgi, ka tie visi izmantoja Google Pay integrāciju ar PayPal.
Kopš šīs piektdienas, 21. februāra, jūsu PayPal vēsturē tiek parādīti darījumi, kas dažkārt pārsniedz tūkstoš eiro, it kā tie būtu veikti no jūsu Google Pay konta.
Viena no upuriem tviterī sacīja, ka ir pamanījusi neparastu pirkumu no trim AirPod pāriem, par ekvivalentu 500 ASV dolāriem. Tāpēc pirkumu nav iespējams atcelt. Paredzētie zaudējumi patlaban ir desmitos tūkstošu eiro, liecina sabiedrības ziņojumi.
Pēc Markus Fenske domām, kiberdrošības pētnieks ar aizstājvārdu "iblue" čivināt, Hakeri izmantoja kļūdu Google Pay integrācijā ar PayPal. Tviterī eksperts apgalvo, ka viņš ir brīdinājis uzņēmumu par pārkāpuma esamību 2019. gada februārī, taču grupa to nav noteikusi par prioritāti.
Kad PayPal konts ir saistīts ar Google Pay kontu, PayPal izveido virtuālu kredītkarti, ar savu kartes numuru, derīguma termiņu un CVV, saka Fenske.
«PayPal ļauj bezkontakta maksājumus, izmantojot Google Pay. Ja to konfigurējat, no mobilā tālruņa varat izlasīt virtuālās kredītkartes datus. Autentifikācija nav nepieciešama ”, nožēlo Markus Fenske.
Šajos apstākļos hakeri var apkopot datus no virtuālajām kartēm. Pateicoties šiem datiem, hakerim nav grūtību veikt pirkumus veikalā savā kontā.
Darījumu saņēmēji bieži ir Target veikali, uz kuriem atsaucas deklarācijās formā "Target T-". Google meklēšana diezgan ātri identificē šo dažādu veikalu atrašanās vietas.
Izmeklētāja sacīja, ka var būt trīs veidi, kā uzbrucējs var iegūt informāciju virtuālās kartes.
Pirmkārt, nolasot kartes datus lietotāja tālrunī vai ekrānā. Otrkārt, ar ļaunprātīgu programmatūru inficē lietotāja ierīci. Beidzot uzmini to.
"Var būt iespējams, ka uzbrucējs vienkārši piespieda kartes numuru un derīguma termiņu, kas ir aptuveni gada robežās," sacīja Fenske. "Tas padara to par diezgan mazu pētījumu telpu. Un, lai precizētu, ka "CVC nav nozīmes", paskaidrojot, ka "Viss ir pieņemts".
Pat pirms ievainojamības izmantošanas hakeri izveidoja rakstu par sūdzībām par PayPal atrasto drošības caurumu novēršanu. LKritika ir tāda, ka PayPal piedāvā atlīdzības programmu kļūda, izmantojot HackerOne, bet šī ir tīra fasāde.
Raksta autori teica, ka viņi ziņoja par vairākām ievainojamībām, taču PayPal atbildes bija tikai noderīgas. Piemēram, viena no minētajām nepilnībām ļauj apiet 2FA, otra ļauj reģistrēt jaunu tālruni bez PIN.
Fenske tam tic haraki ir atraduši veidu, kā atklāt šo "virtuālo karšu" detaļas un viņi izmanto kartes datus neatļautiem darījumiem Amerikas un Vācijas veikalos (lielākā daļa upuru ir Vācijā).
Paldies par info!
Man patīk šāda veida raksti, informatīvi, par drošību.