Paypal เป็นระบบชำระเงินออนไลน์ยอดนิยม และได้รับการยอมรับอย่างมากในเกือบทุกประเทศนอกจากนี้ ระบบการชำระเงินอื่น ๆ เช่น Google Pay สร้างลิงก์ เพื่อชำระเงินด้วยเงินที่พบในบัญชี Paypal ซึ่งหากไม่นับรวมกันให้ใช้เงินจากบัตรเดบิตหรือบัตรเครดิตที่เชื่อมโยงกัน
สิ่งนี้อาจค่อนข้างสับสนเมื่อคุณสามารถชำระเงินด้วยบัตรของคุณได้และนั่นก็เป็นเช่นนั้น แต่หลายคนชอบที่จะชำระเงินด้วยวิธีนี้เพื่อป้องกันไม่ให้พลาสติกของพวกเขาถูกโคลนหรือเพียงเพราะสิ่งที่พวกเขาต้องการจ่ายนั้นง่ายดาย (โดยปกติจะออนไลน์) .
ลูกแพร์ ดูเหมือนว่าสิ่งนี้จะสร้างปัญหาที่ใหญ่กว่ามาก ที่มากมาย ผู้คนเริ่มรายงานว่าพบการชำระเงินที่ไม่ได้รับอนุญาต ด้วยบัญชี PayPal ของคุณบนแพลตฟอร์มต่างๆเช่นฟอรัม PayPal หรือ Twitter ซึ่งทั้งหมดนี้ รายงานมีเหมือนกันว่าทุกคนใช้การผสานรวม Google Pay กับ PayPal
ตั้งแต่วันศุกร์ที่ 21 กุมภาพันธ์นี้ธุรกรรมที่บางครั้งเกินหนึ่งพันยูโรจะปรากฏในประวัติ PayPal ของคุณราวกับว่ามาจากบัญชี Google Pay ของคุณ
หนึ่งในเหยื่อบน Twitter กล่าวว่าเธอสังเกตเห็นการซื้อที่ผิดปกติ AirPods สามคู่ในราคาเทียบเท่า $ 500 ดังนั้นจึงไม่สามารถยกเลิกการซื้อได้ ขณะนี้มูลค่าความเสียหายโดยประมาณอยู่ที่หลายหมื่นยูโรตามรายงานของสาธารณชน
อ้างอิงจาก Markus Fenske นักวิจัยด้านความปลอดภัยทางไซเบอร์ ด้วยนามแฝง "iblue" บน Twitter แฮกเกอร์ใช้ประโยชน์จากข้อบกพร่องในการผสานรวม Google Pay กับ PayPal ใน Twitter ผู้เชี่ยวชาญอ้างว่าได้เตือน บริษัท เกี่ยวกับการละเมิดในเดือนกุมภาพันธ์ 2019 แต่กลุ่มไม่ได้ให้ความสำคัญ
เมื่อบัญชี PayPal เชื่อมโยงกับบัญชี Google Pay PayPal สร้างบัตรเครดิตเสมือนจริง ด้วยหมายเลขบัตรของคุณเองวันหมดอายุและ CVV Fenske กล่าว
« PayPal อนุญาตการชำระเงินแบบไม่ต้องสัมผัสผ่าน Google Pay หากคุณกำหนดค่าคุณสามารถอ่านรายละเอียดบัตรของบัตรเครดิตเสมือนได้จากมือถือ ไม่จำเป็นต้องมีการรับรองความถูกต้อง” เสียใจกับ Markus Fenske
ในเงื่อนไขเหล่านี้ แฮกเกอร์สามารถรวบรวมข้อมูลจากการ์ดเสมือน ด้วยข้อมูลนี้แฮ็กเกอร์จึงไม่มีปัญหาในการซื้อสินค้าในร้านค้าในบัญชีของเขา
ผู้รับธุรกรรมมักเป็นร้านค้าเป้าหมายอ้างอิงในการประกาศในรูปแบบ "Target T-" การค้นหาของ Google ระบุตำแหน่งของร้านค้าต่างๆเหล่านี้ได้อย่างรวดเร็ว
ผู้ตรวจสอบกล่าวว่ามีสามวิธีที่ผู้โจมตีจะได้รับรายละเอียด ของการ์ดเสมือน
ขั้นแรกโดยการอ่านรายละเอียดการ์ดบนโทรศัพท์หรือหน้าจอของผู้ใช้ ประการที่สองโดยมัลแวร์ติดอุปกรณ์ของผู้ใช้ ในที่สุดก็เดาได้
"อาจเป็นไปได้ว่าผู้โจมตีเพียงแค่บังคับหมายเลขบัตรและวันหมดอายุซึ่งอยู่ในช่วงประมาณหนึ่งปี" Fenske กล่าว 'สิ่งนี้ทำให้มีพื้นที่วิจัยค่อนข้างน้อย และชี้แจงว่า "CVC ไม่สำคัญ" โดยอธิบายว่า "ทุกอย่างเป็นที่ยอมรับ"
ก่อนที่ช่องโหว่จะถูกใช้ประโยชน์ แฮกเกอร์สร้างบทความเกี่ยวกับการร้องเรียน เกี่ยวกับการจัดการช่องโหว่ด้านความปลอดภัยที่ PayPal พบ ลข้อวิจารณ์คือ PayPal เสนอโปรแกรมให้รางวัล ข้อผิดพลาดผ่าน HackerOne แต่นี่เป็นซุ้มที่บริสุทธิ์
ผู้เขียนบทความกล่าวว่าพวกเขารายงานช่องโหว่หลายประการ แต่คำตอบของ PayPal นั้นเป็นประโยชน์ ตัวอย่างเช่นหนึ่งในช่องว่างที่กล่าวถึงช่วยให้คุณสามารถข้าม 2FA ได้และอีกช่องว่างหนึ่งให้คุณลงทะเบียนโทรศัพท์เครื่องใหม่โดยไม่ต้องใช้ PIN
Fenske เชื่อเช่นนั้น Hagaks ได้ค้นพบวิธีที่จะค้นพบรายละเอียดของ "การ์ดเสมือน" เหล่านี้ และพวกเขากำลังใช้รายละเอียดบัตรสำหรับการทำธุรกรรมที่ไม่ได้รับอนุญาตในร้านค้าในอเมริกาและเยอรมัน (เหยื่อส่วนใหญ่อยู่ในเยอรมนี)