贝宝是一种流行的在线支付系统 并在几乎所有国家/地区中得到了广泛认可 其他付款系统(例如Google Pay)建立了链接 为了使用在Paypal帐户中找到的资金进行付款,如果不计入该费用,该帐户又将从链接的借记卡或信用卡中提取资金。
当您只需要用卡付款时,便会有些混乱,仅此而已,但是许多人更喜欢以这种方式付款,以防止克隆其塑料,或者仅仅是因为他们想要付款的方式如此简单(通常是在线付款) )。
但 看来这产生了更大的问题 那么多 人们开始报告他们发现了未经授权的付款 在各种平台(例如PayPal论坛或Twitter)上使用您的PayPal帐户, 这些报告的共同点是它们都使用了与PayPal集成的Google Pay。
从21月XNUMX日星期五开始,有时超过一千欧元的交易会出现在您的PayPal历史记录中,就好像来自您的Google Pay帐户一样。
推特上的一名受害者说,她注意到一次不寻常的购买 三对AirPods,相当于500美元。因此,无法取消购买。 据公开报道,目前估计的损失为数万欧元。
根据Markus Fenske所说, 网络安全研究员 在Twitter上使用别名“ iblue”, 黑客利用了Google Pay与PayPal集成中的缺陷。 在Twitter上,该专家声称已在2019年XNUMX月警告该公司存在违规行为,但该组织并未将其列为优先事项。
当PayPal帐户链接到Google Pay帐户时, 贝宝会创建一个虚拟信用卡, Fenske说,使用您自己的卡号,有效期和CVV。
«PayPal允许通过Google Pay进行非接触式付款。 如果进行配置,则可以从移动设备读取虚拟信用卡的卡详细信息。 Markus Fenske对此表示遗憾。
在这些情况下 黑客可以从虚拟卡收集数据。 借助这些数据,黑客可以轻松地在其帐户中的商店中进行购买。
交易的收件人通常是目标商店,在声明中以“目标T-”的形式引用。 Google搜索可以很快地识别出这些不同商店的位置。
调查人员说,攻击者可能会通过三种方式获取详细信息 虚拟卡。
首先,在用户的手机或屏幕上读取卡的详细信息。 其次,通过恶意软件感染用户的设备。 终于猜出来了。
Fenske说:“攻击者可能只是强行强行输入卡号和有效期,大约在一年之内。” ``这使得它的研究空间很小。 并澄清“ CVC无关紧要”,并解释为“一切都被接受”。
甚至在漏洞被利用之前, 黑客发表了有关投诉的文章 处理PayPal发现的安全漏洞。 大号批评是贝宝提供奖励计划 通过HackerOne错误, 但这是一个纯粹的外观。
该文章的作者说,他们报告了多个漏洞,但是PayPal的回答无济于事。 例如,提到的一个空白可以让您绕过2FA,另一个空白可以让您注册没有PIN的新电话。
芬斯克认为 骚扰者找到了发现这些“虚拟卡”详细信息的方法 他们使用卡的详细信息在美国和德国的商店进行未经授权的交易(大多数受害者在德国)。
谢谢(你的)信息!
我喜欢这些类型的文章,内容涉及安全性。