Paypal er et populært online betalingssystem og med stor aksept i nesten alle land i tillegg til andre betalingssystemer som Google Pay oppretter en lenke å kunne betale med midlene som finnes i Paypal-kontoene, som igjen, hvis ikke telles, tar midlene fra de tilknyttede debet- eller kredittkortene.
Dette kan være litt forvirrende når du bare kan betale med kortene dine, og det er det, men mange foretrekker å betale på denne måten for å forhindre at plasten deres blir klonet, eller bare fordi det de vil betale har den lette (vanligvis online) .
Pero det ser ut til at dette har generert et mye større problem så mange folk har begynt å rapportere at de har oppdaget uautoriserte betalinger med PayPal-kontoen din på forskjellige plattformer, for eksempel PayPal-fora eller Twitter, hvorav alle Rapportene har til felles at de alle brukte Google Pay-integrasjonen med PayPal.
Siden denne fredagen 21. februar vises transaksjoner som noen ganger overstiger tusen euro i PayPal-historikken din, som om de kom fra Google Pay-kontoen din.
Et av ofrene på Twitter sa at hun hadde lagt merke til et uvanlig kjøp på tre par AirPods, til en verdi av $ 500. Derfor er det umulig å kansellere kjøpet. Anslåtte skader er for tiden i titusenvis av euro, ifølge offentlige rapporter.
I følge Markus Fenske, en cybersikkerhetsforsker med aliaset "iblue" på Twitter, Hackerne utnyttet en feil i Google Pay-integrasjonen med PayPal. På Twitter hevder eksperten å ha advart selskapet om eksistensen av et brudd i februar 2019, men gruppen har ikke prioritert det.
Når en PayPal-konto er koblet til en Google Pay-konto, PayPal oppretter et virtuelt kredittkort, med ditt eget kortnummer, utløpsdato og CVV, sier Fenske.
«PayPal tillater kontaktløse betalinger via Google Pay. Hvis du konfigurerer det, kan du lese kortopplysningene til et virtuelt kredittkort fra mobilen. Autentisering er ikke nødvendig ”, angrer Markus Fenske.
Under disse forholdene, hackere kan samle inn data fra virtuelle kort. Takket være disse dataene har en hacker ingen problemer med å kjøpe i butikken på kontoen sin.
Mottakere av transaksjoner er ofte målbutikker, som det henvises til i erklæringer i skjemaet "Target T-". Et Google-søk identifiserer plasseringen til disse forskjellige butikkene ganske raskt.
Etterforskeren sa at det kan være tre måter en angriper kan få detaljene på av et virtuelt kort.
Først ved å lese kortopplysningene på brukerens telefon eller skjerm. For det andre, ved skadelig programvare som infiserer en brukers enhet. Gjett til slutt.
"Det kan være mulig at angriperen bare tvang kortnummeret og utløpsdatoen, som er i området rundt et år," sa Fenske. 'Dette gjør det til et ganske lite forskningsrom. Og for å presisere at "CVC ikke betyr noe", og forklare at "Alt er akseptert."
Allerede før sårbarheten ble utnyttet, hackerne lagde en artikkel om klagene om håndtering av sikkerhetshull funnet av PayPal. LKritikken er at PayPal tilbyr et belønningsprogram feil via HackerOne, men dette er en ren fasade.
Artikkelforfatterne sa at de rapporterte om flere sårbarheter, men PayPal-svarene var alt annet enn nyttige. For eksempel lar en av hullene som er nevnt deg omgå 2FA, en annen lar deg registrere en ny telefon uten PIN-kode.
Det tror Fenske harakene har funnet en måte å oppdage detaljene i disse "virtuelle kortene" og de bruker kortopplysningene for uautoriserte transaksjoner i amerikanske og tyske butikker (de fleste ofrene er i Tyskland).