Ang Paypal ay isang tanyag na sistemang pagbabayad sa online at may malaking pagtanggap sa halos lahat ng mga bansa bilang karagdagan sa ang iba pang mga system ng pagbabayad tulad ng Google Pay ay gumagawa ng isang link upang makapagbayad sa mga pondong matatagpuan sa mga Paypal account, na kung saan, kung hindi binibilang, ay kukuha ng mga pondo mula sa naka-link na mga debit o credit card.
Maaari itong maging nakalilito kung maaari kang magbayad lamang gamit ang iyong mga card at iyon na, ngunit mas gusto ng maraming tao na magbayad sa ganitong paraan upang maiwasan ang kanilang mga plastik na ma-clone o simpleng dahil ang nais nilang bayaran ay may ganoong kadali (karaniwang online ).
Peras tila ito ay nakabuo ng isang mas malaking problema yang marami sinimulan ng mga tao ang pag-uulat na natuklasan nila ang hindi pinahintulutang pagbabayad kasama ang iyong PayPal account sa iba't ibang mga platform, tulad ng mga forum sa PayPal o Twitter, kung saan lahat Ang mga ulat ay magkatulad na ginamit nilang lahat ang pagsasama ng Google Pay sa PayPal.
Mula nitong Biyernes, Pebrero 21, ang mga transaksyon na minsan ay lumalagpas sa isang libong euro ay lilitaw sa iyong kasaysayan sa PayPal, na parang nagmula sa iyong Google Pay account.
Sinabi ng isa sa mga biktima sa Twitter na napansin niya ang isang hindi pangkaraniwang pagbili ng tatlong pares ng AirPods, para sa katumbas na $ 500. Samakatuwid, imposibleng kanselahin ang pagbili. Ang tinatayang pinsala ay kasalukuyang nasa sampu-sampung libong euro, ayon sa mga pampublikong ulat.
Ayon kay Markus Fenske, isang mananaliksik sa cybersecurity kasama ang alyas na "iblue" sa Twitter, Sinamantala ng mga hacker ang isang kamalian sa pagsasama ng Google Pay sa PayPal. Sa Twitter, inaangkin ng dalubhasa na binalaan ang kumpanya ng pagkakaroon ng isang paglabag noong Pebrero 2019, ngunit hindi ito ginawang prayoridad ng grupo.
Kapag ang isang PayPal account ay na-link sa isang Google Pay account, Lumilikha ang PayPal ng isang virtual credit card, gamit ang iyong sariling numero ng card, petsa ng pag-expire at CVV, sabi ni Fenske.
«Pinapayagan ng PayPal ang mga pagbabayad na walang contact sa pamamagitan ng Google Pay. Kung mai-configure mo ito, maaari mong basahin ang mga detalye ng card ng isang virtual credit card mula sa mobile. Hindi kinakailangan ang pagpapatotoo ”, pinagsisisihan ni Markus Fenske.
Sa mga kundisyong ito, ang mga hacker ay maaaring mangolekta ng data mula sa mga virtual card. Salamat sa data na ito, ang isang hacker ay walang kahirapan sa pagbili sa tindahan sa kanyang account.
Ang mga tatanggap ng mga transaksyon ay madalas na Mga tindahan ng target, na isinangguni sa mga deklarasyon sa form na "Target T-". Ang isang paghahanap sa Google ay mabilis na kinikilala ang lokasyon ng iba't ibang mga tindahan.
Sinabi ng investigator na maaaring may tatlong paraan upang makuha ng isang umaatake ang mga detalye ng isang virtual card.
Una, sa pamamagitan ng pagbabasa ng mga detalye ng card sa telepono o screen ng isang gumagamit. Pangalawa, sa pamamagitan ng malware na nahahawa sa aparato ng isang gumagamit. Panghuli hulaan ito.
"Maaaring posible na pilitin lamang ng salakay ang numero ng card at ang expiration date, na nasa saklaw na mga isang taon," sabi ni Fenske. Ginagawa nitong medyo isang maliit na puwang sa pagsasaliksik. At upang linawin na "Ang CVC ay hindi mahalaga", na nagpapaliwanag na "Lahat ay tinanggap."
Bago pa man pinagsamantalahan ang kahinaan, ang mga hacker ay gumawa ng isang artikulo tungkol sa mga reklamo sa paghawak ng mga butas sa seguridad na natagpuan ng PayPal. LAng pintas ay nag-aalok ang PayPal ng isang programang gantimpala error sa pamamagitan ng HackerOne, ngunit ito ay isang dalisay na harapan.
Sinabi ng mga may-akda ng artikulo na iniulat nila ang maraming mga kahinaan, ngunit ang mga tugon ng PayPal ay anupaman kapaki-pakinabang. Halimbawa, ang isa sa mga puwang na nabanggit ay nagbibigay-daan sa iyo upang laktawan ang 2FA, pinapayagan ka ng isa pang magparehistro ng isang bagong telepono nang walang PIN.
Naniniwala si Fenske na ang mga haraks ay nakakita ng isang paraan upang matuklasan ang mga detalye ng mga "virtual card" na ito at ginagamit nila ang mga detalye ng kard para sa mga hindi awtorisadong transaksyon sa mga tindahan ng Amerikano at Aleman (ang karamihan sa mga biktima ay nasa Alemanya).
Salamat sa impormasyon!
Gusto ko ang mga ganitong uri ng artikulo, nagbibigay-kaalaman, tungkol sa seguridad.