पेपल एक लोकप्रिय ऑनलाइन पेमेंट सिस्टम आहे याव्यतिरिक्त आणि जवळजवळ सर्व देशांमध्ये मोठ्या प्रमाणावर स्वीकृती आहे गूगल पे सारख्या इतर देयक प्रणाली दुवा तयार करतात पेपल खात्यात सापडलेल्या फंडांसह पैसे देण्यास सक्षम होण्यासाठी, जे या बदल्यात मोजले गेले नाही, तर दुवा साधलेले डेबिट किंवा क्रेडिट कार्डमधून पैसे घेतो.
जेव्हा आपण फक्त आपल्या कार्डांसह पैसे देऊ शकता तेव्हा हे काहीसे गोंधळात टाकणारे असू शकते, परंतु बरेच लोक त्यांच्या प्लास्टिक क्लोन करण्यापासून रोखण्यासाठी या प्रकारे पैसे देण्यास प्राधान्य देतात किंवा त्यांना जे पैसे द्यायचे आहेत ते सहजतेने करतात (सहसा ऑनलाइन ).
पण असे दिसते की यामुळे बरीच मोठी समस्या निर्माण झाली आहे त्या अनेक लोकांनी त्यांना अनधिकृत देयके सापडल्याची नोंद सुरू केली आहे आपल्या पेपल खात्यासह विविध प्लॅटफॉर्मवर, जसे की पोपल मंच किंवा ट्विटर, जे सर्व अहवालांमध्ये सर्व साधारण आहे की त्या सर्वांनी पेपलसह Google Pay एकत्रिकरण वापरले.
हा शुक्रवार 21 फेब्रुवारीपासून, कधीकधी एक हजार युरोपेक्षा जास्त व्यवहार आपल्या पेपलच्या इतिहासात दिसतात, जणू ते आपल्या Google पे खात्यातून आले आहेत.
ट्विटरवर बळी पडलेल्यांपैकी एकाने सांगितले की तिने एक असामान्य खरेदी पाहिली आहे एअरपॉड्सच्या तीन जोडींपैकी $ 500 च्या समकक्षतेसाठी. म्हणून खरेदी रद्द करणे अशक्य आहे. सार्वजनिक अहवालानुसार अंदाजे नुकसानीचे हजारो युरो सध्या दहापट आहेत.
मार्कस फेंस्के यांच्या मते, एक सायबरसुरक्षा संशोधक ट्विटरवर उर्फ "इब्लयू" सह, हॅकर्सनी पेपल बरोबर गूगल पे एकत्रिकरणातील दोषांचा उपयोग केला. ट्विटरवर, तज्ञांचा दावा आहे की फेब्रुवारी 2019 मध्ये कंपनीने उल्लंघन केल्याचा इशारा दिला होता, परंतु या गटाने यास प्राधान्य दिले नाही.
जेव्हा पेपल खात्याचा Google पे खात्याशी दुवा साधलेला असतो, पेपल व्हर्च्युअल क्रेडिट कार्ड तयार करते, आपल्या स्वत: च्या कार्ड नंबर, कालबाह्यता तारीख आणि सीव्हीव्हीसह, फेंस्के म्हणतात.
«पोपल Google पेद्वारे संपर्क रहित देय देण्यास परवानगी देते. आपण हे कॉन्फिगर केल्यास आपण मोबाइल वरून व्हर्च्युअल क्रेडिट कार्डचे कार्ड तपशील वाचू शकता. प्रमाणीकरण आवश्यक नाही ”, मार्कस फेंस्केला दिलगीर आहे.
या परिस्थितीत, हॅकर्स व्हर्च्युअल कार्डमधून डेटा संकलित करू शकतात. या डेटाबद्दल धन्यवाद, हॅकरला त्याच्या खात्यावर स्टोअरमध्ये खरेदी करण्यात कोणतीही अडचण येत नाही.
व्यवहार प्राप्त करणारे बहुतेकदा लक्ष्यित स्टोअर असतात, जे "लक्ष्य टी-" स्वरूपात घोषणांमध्ये संदर्भित आहेत. एक Google शोध या वेगवेगळ्या स्टोअरची ठिकाणे बर्यापैकी द्रुतपणे ओळखतो.
हल्लेखोराला तपशील मिळवण्यासाठी तीन मार्ग असू शकतात असे अन्वेषकांनी सांगितले व्हर्च्युअल कार्डचे.
प्रथम, वापरकर्त्याच्या फोनवर किंवा स्क्रीनवर कार्ड तपशील वाचून. दुसरे म्हणजे, वापरकर्त्याच्या डिव्हाइसवर मालवेयर संक्रमित करून. शेवटी त्याचा अंदाज लावत आहे.
"हे शक्य आहे की हल्लेखोरांनी फक्त कार्ड नंबर आणि कालबाह्यता तारखेस सक्ती केली, जी सुमारे एक वर्षाच्या कालावधीत असते," फेंस्के म्हणाले. 'यामुळे संशोधनाची छोटी जागा बनते. आणि "सर्व काही स्वीकारले आहे" असे स्पष्ट करून "सीव्हीसीला काही फरक पडत नाही" हे स्पष्ट करण्यासाठी.
असुरक्षिततेचा गैरफायदा घेण्यापूर्वीच, हॅकर्सनी तक्रारींबद्दल लेख लिहिला पोपलद्वारे सापडलेल्या सुरक्षा छिद्रे हाताळण्यावर. एलटीका अशी आहे की पेपल बक्षीस कार्यक्रम देते हॅकरऑन द्वारे त्रुटी, पण हे शुद्ध दर्शनी भाग आहे.
लेखाच्या लेखकांनी सांगितले की त्यांनी अनेक असुरक्षा नोंदवल्या आहेत, परंतु पेपलचे प्रतिसाद काहीच उपयोगी नव्हते. उदाहरणार्थ, नमूद केलेल्या अंतरांपैकी एक आपल्याला 2 एफए बायपास करण्याची परवानगी देतो, दुसरा आपल्याला पिनशिवाय नवीन फोन नोंदणी करण्यास परवानगी देतो.
फेंस्के यांचा असा विश्वास आहे या "व्हर्च्युअल कार्ड्स" चा तपशील शोधण्याचा एक मार्ग हार्कला सापडला आहे आणि ते अमेरिकन आणि जर्मन स्टोअरमध्ये अनधिकृत व्यवहारासाठी कार्डचा तपशील वापरत आहेत (बळी पडलेल्यांपैकी बहुतेक जर्मनीत आहेत).
माहिती दिल्याबद्दल मी आभारी आहे!
मला सुरक्षिततेविषयी माहितीपूर्ण असे लेख आवडतात.