Paypal - популярна система онлайн-платежів і з великим визнанням майже у всіх країнах, крім інші платіжні системи, такі як Google Pay, роблять посилання для оплати коштами, знайденими на рахунках Paypal, які, у свою чергу, якщо не враховувати, беруть кошти з пов'язаних дебетових або кредитних карток.
Це може дещо заплутати, коли ви можете просто розрахуватися картками, і все, але багато людей воліють здійснювати платежі таким чином, щоб запобігти клонуванню їх пластмас або просто тому, що те, що вони хочуть заплатити, має таку легкість (як правило, онлайн ).
перо здається, це породило набагато більшу проблему що багато люди почали повідомляти, що виявили несанкціоновані платежі з вашим обліковим записом PayPal на різних платформах, таких як форуми PayPal або Twitter, з яких усі Спільним у звітах є те, що всі вони використовували інтеграцію Google Pay із PayPal.
З цієї п’ятниці, 21 лютого, трансакції, які іноді перевищують тисячу євро, з’являються у вашій історії PayPal, ніби вони надходять з вашого облікового запису Google Pay.
Одна з жертв у Twitter сказала, що помітила незвичну покупку з трьох пар AirPods, на еквівалент 500 доларів. Тому скасувати покупку неможливо. За оцінками збитків, згідно з публічними звітами, наразі вони складають десятки тисяч євро.
За словами Маркуса Фенске, дослідник кібербезпеки з псевдонімом "iblue" у Twitter, Хакери використали ваду в інтеграції Google Pay з PayPal. У Twitter експерт стверджує, що попереджав компанію про наявність порушення в лютому 2019 року, але група не визначила це пріоритетом.
Коли обліковий запис PayPal пов’язаний з обліковим записом Google Pay, PayPal створює віртуальну кредитну картку, з власним номером картки, датою закінчення терміну дії та CVV, говорить Фенске.
«PayPal дозволяє здійснювати безконтактні платежі через Google Pay. Якщо ви налаштуєте його, ви зможете прочитати дані картки віртуальної кредитної картки з мобільного. Автентифікація не потрібна », - шкодує Маркус Фенске.
У цих умовах хакери можуть збирати дані з віртуальних карток. Завдяки цим даним хакер не має труднощів робити покупки в магазині на свій рахунок.
Одержувачами транзакцій часто є цільові магазини, на які посилаються в деклараціях у формі "Цільова Т-". Пошук у Google досить швидко визначає місцезнаходження цих різних магазинів.
Слідчий заявив, що зловмисник може отримати три деталі за допомогою трьох способів віртуальної картки.
По-перше, читаючи дані картки на телефоні або екрані користувача. По-друге, шляхом зараження шкідливим програмним забезпеченням пристрою користувача. Нарешті вгадавши це.
"Не виключено, що зловмисник просто примусив номер картки та термін дії, який становить приблизно рік", - сказав Фенске. «Це робить його досить малим дослідницьким простором. І пояснити, що "CVC не має значення", пояснивши, що "Все прийнято".
Ще до того, як уразливість була використана, хакери зробили статтю про скарги щодо усунення дір в безпеці, виявлених PayPal. LКритика полягає в тому, що PayPal пропонує програму винагород помилка через HackerOne, але це чистий фасад.
Автори статті заявили, що вони повідомляли про кілька вразливих місць, але відповіді PayPal були лише корисними. Наприклад, один із згаданих прогалин дозволяє вам обійти 2FA, інший - зареєструвати новий телефон без PIN-коду.
Фенске вважає, що хараки знайшли спосіб виявити деталі цих "віртуальних карток" і вони використовують дані картки для несанкціонованих операцій в американських та німецьких магазинах (більшість жертв знаходяться в Німеччині).