Paypal é um sistema de pagamento online muito popular e com grande aceitação em quase todos os países além de outros sistemas de pagamento, como o Google Pay, fazem um link para pagar com os fundos encontrados nas contas Paypal, que por sua vez, se não forem contabilizados, retira os fundos dos cartões de débito ou crédito vinculados.
Isso pode ser um pouco confuso quando você pode simplesmente pagar com seus cartões e pronto, mas muitas pessoas preferem fazer pagamentos dessa forma para evitar que seus plásticos sejam clonados ou simplesmente porque o que eles querem pagar tem essa facilidade (geralmente online )
Mas parece que isso gerou um problema muito maior Tudo isso pessoas começaram a relatar que descobriram pagamentos não autorizados com sua conta do PayPal em várias plataformas, como fóruns do PayPal ou Twitter, dos quais todos Os relatórios têm em comum que todos usaram a integração do Google Pay com o PayPal.
Desde esta sexta-feira, 21 de fevereiro, as transações que às vezes ultrapassam os mil euros aparecem no seu histórico do PayPal, como se viessem da sua conta do Google Pay.
Uma das vítimas no Twitter disse que notou uma compra incomum de três pares de AirPods, pelo equivalente a US $ 500. Portanto, é impossível cancelar a compra. Os danos estimados rondam actualmente as dezenas de milhares de euros, de acordo com relatórios públicos.
De acordo com Markus Fenske, um pesquisador de cibersegurança com o alias "iblue" no Twitter, Os hackers exploraram uma falha na integração do Google Pay com o PayPal. No Twitter, o especialista afirma ter alertado a empresa da existência de uma violação em fevereiro de 2019, mas o grupo não fez disso uma prioridade.
Quando uma conta do PayPal é vinculada a uma conta do Google Pay, PayPal cria um cartão de crédito virtual, com seu próprio número de cartão, data de validade e CVV, diz Fenske.
«O PayPal permite pagamentos sem contato por meio do Google Pay. Se você configurá-lo, você pode ler os detalhes do cartão de um cartão de crédito virtual do celular. A autenticação não é necessária ”, lamenta Markus Fenske.
Nessas condições, os hackers podem coletar dados de cartões virtuais. Graças a esses dados, um hacker não tem dificuldade em fazer compras na loja por sua conta.
Os destinatários das transações são frequentemente lojas alvo, que são referenciados em declarações no formulário "Alvo T-". Uma pesquisa no Google identifica a localização dessas diferentes lojas com bastante rapidez.
O investigador disse que pode haver três maneiras de um invasor obter os detalhes de um cartão virtual.
Primeiro, lendo os detalhes do cartão no telefone ou na tela do usuário. Em segundo lugar, por malware infectar o dispositivo de um usuário. Finalmente adivinhando.
“Pode ser possível que o invasor simplesmente force o número do cartão e a data de validade, que está em torno de um ano”, disse Fenske. 'Isso o torna um espaço de pesquisa bastante pequeno. E para esclarecer que “O CVC não importa”, explicando que “Tudo é aceito”.
Mesmo antes de a vulnerabilidade ser explorada, hackers fizeram um artigo sobre as reclamações sobre como lidar com falhas de segurança encontradas pelo PayPal. euA crítica é que o PayPal oferece um programa de recompensas erro via HackerOne, mas esta é uma fachada pura.
Os autores do artigo disseram que relataram várias vulnerabilidades, mas as respostas do PayPal foram tudo menos úteis. Por exemplo, uma das lacunas mencionadas permite que você ignore 2FA, outra permite que você registre um novo telefone sem um PIN.
Fenske acredita que os haraks encontraram uma maneira de descobrir os detalhes desses "cartões virtuais" e estão usando os detalhes do cartão para transações não autorizadas em lojas americanas e alemãs (a maioria das vítimas está na Alemanha).
Obrigado pela informação!
Gosto desses tipos de artigos informativos sobre segurança.