Paypal es un sistema de pagos en línea bastante popular y con mucha aceptación en casi todos los países además de que otros sistemas de pago como Google Pay realizan una vinculación para poder pagar con los fondos que se encuentran en las cuentas de Paypal, que a su vez en caso de no contar toma los fondos de las tarjetas de débito o crédito vinculadas.
Esto puede resultar algo enredado cuando simplemente puedes pagar con tus tarjetas y ya, pero muchas personas prefieren realizar pagos de esta forma con la finalidad de evitar que sus plásticos sean clonados o simplemente por que lo que desean pagar cuenta con esa facilidad (generalmente en línea).
Pero tal parece que esto ha generado un problema mucho mayor que muchas personas han comenzado a informar que han descubierto pagos no autorizados con su cuenta de PayPal en varias plataformas, como foros de PayPal o Twitter, de los cuales todos los reportes tienen en común que todos utilizaron la integración de Google Pay con PayPal.
Desde este viernes 21 de febrero, las transacciones que a veces superan los mil euros aparecen en su historial de PayPal, como si vinieran de su cuenta de Google Pay.
Una de las víctimas en Twitter dijo que había notado una compra inusual de tres pares de AirPods, por el equivalente a $ 500. Por lo tanto, es imposible cancelar la compra. Los daños estimados son actualmente de decenas de miles de euros, según informes públicos.
Según Markus Fenske, un investigador de ciberseguridad con el alias «iblue» en Twitter, los hackers explotaron una falla en la integración de Google Pay en PayPal. En Twitter, el experto afirma haber advertido a la empresa de la existencia de una violación en febrero de 2019, pero el grupo no lo ha convertido en una prioridad.
Cuando se vincula una cuenta de PayPal a una cuenta de Google Pay, PayPal crea una tarjeta de crédito virtual, con su propio número de tarjeta, fecha de vencimiento y CVV, dice Fenske.
«PayPal permite pagos sin contacto a través de Google Pay. Si lo configura, puede leer los detalles de la tarjeta de una tarjeta de crédito virtual desde el móvil. No se requiere autenticación «, lamenta Markus Fenske.
En estas condiciones, los hackers pueden recopilar los datos de las tarjetas virtuales. Gracias a estos datos, un hacker no tiene dificultades para realizar compras en la tienda en su cuenta.
Los destinatarios de las transacciones son a menudo tiendas Target, a las que se hace referencia en declaraciones en la forma «Target T-«. Una búsqueda en Google identifica con bastante rapidez la ubicación de estas diferentes tiendas.
El investigador dijo que podría haber tres formas en que un atacante podría obtener los detalles de una tarjeta virtual.
Primero, leyendo los detalles de la tarjeta en el teléfono o la pantalla de un usuario. En segundo lugar, por malware que infecta el dispositivo de un usuario. Finalmente adivinándolo.
«Podría ser posible que el atacante simplemente forzara el número de tarjeta y la fecha de vencimiento, que está en el rango de aproximadamente un año», dijo Fenske. «Esto lo convierte en un espacio de investigación bastante pequeño. Y para aclarar que «El CVC no importa», explicando que «Todo está aceptado».
Incluso antes de que se explotara la vulnerabilidad, los hackers hicieron un artículo sobre las quejas sobre el manejo de los agujeros de seguridad encontrados por PayPal. La crítica es que PayPal ofrece un programa de recompensas de errores a través de HackerOne, pero esta es una fachada pura.
Los autores del artículo dijeron que informaron varias vulnerabilidades, pero las respuestas de PayPal fueron de todo menos útiles. Por ejemplo, uno de los vacíos mencionados permite omitir 2FA, otro permite registrar un nuevo teléfono sin un PIN.
Fenske cree que los hacerks han encontrado una manera de descubrir los detalles de estas «tarjetas virtuales» y están utilizando los detalles de la tarjeta para transacciones no autorizadas en tiendas estadounidenses y alemanas (la mayoría de las víctimas están en Alemania).
¡Gracias por la info!
Me gusta este tipo de articulos, informativos, sobre seguridad.