貝寶是一種流行的在線支付系統 並且除 其他付款系統(例如Google Pay)建立了鏈接 以便能夠使用貝寶(Paypal)帳戶中的資金進行付款,如果不計入該費用,該帳戶又將從鏈接的借記卡或信用卡中提取資金。
當您只需要用卡付款時,便會有些混亂,僅此而已,但是許多人更喜歡以這種方式付款,以防止克隆其塑料,或者僅僅是因為他們想要付款的方式如此簡單(通常是在線付款) )。
梨 看來這產生了更大的問題 那麼多 人們開始報告他們發現了未經授權的付款 在各種平台(例如PayPal論壇或Twitter)上使用您的PayPal帳戶, 這些報告的共同點是它們都使用了與PayPal集成的Google Pay。
從21月XNUMX日星期五開始,有時超過一千歐元的交易會出現在您的PayPal歷史記錄中,就好像來自您的Google Pay帳戶一樣。
推特上的一名受害者說,她注意到一次不尋常的購買 三對AirPods,相當於500美元。因此,無法取消購買。 據公開報導,目前估計的損失為數万歐元。
根據Markus Fenske所說, 網絡安全研究員 在Twitter上使用別名“ iblue”, 黑客利用了Google Pay與PayPal集成中的缺陷。 在Twitter上,該專家聲稱已警告該公司2019年XNUMX月存在違規行為,但該組織並未將其列為優先事項。
當PayPal帳戶鏈接到Google Pay帳戶時, 貝寶會創建一個虛擬信用卡, Fenske說,使用您自己的卡號,有效期和CVV。
«PayPal允許通過Google Pay進行非接觸式付款。 如果進行配置,則可以從移動設備讀取虛擬信用卡的卡詳細信息。 不需要身份驗證,” Markus Fenske感嘆。
在這些情況下 黑客可以從虛擬卡收集數據。 借助這些數據,黑客可以輕鬆地在其帳戶中的商店中進行購買。
交易的收件人通常是目標商店,在聲明中以“目標T-”的形式引用。 Google搜索可以很快地識別出這些不同商店的位置。
調查人員說,攻擊者可能會通過三種方式獲取詳細信息 虛擬卡。
首先,通過在用戶的手機或屏幕上讀取卡的詳細信息。 其次,通過惡意軟件感染用戶的設備。 終於猜出來了。
Fenske說:“攻擊者可能只是強行強行輸入卡號和有效期,大約在一年之內。” '這使得它的研究空間很小。 並澄清“ CVC無關緊要”,並解釋為“一切都被接受”。
甚至在漏洞被利用之前, 黑客們發表了一篇關於抱怨的文章 處理PayPal發現的安全漏洞。 大號批評是貝寶提供獎勵計劃 通過HackerOne錯誤, 但這是一個純粹的外觀。
該文章的作者說,他們報告了多個漏洞,但是PayPal的回答無濟於事。 例如,提到的一個空白可以讓您繞過2FA,另一個空白可以讓您註冊沒有PIN的新電話。
芬斯克認為 騷擾者找到了發現這些“虛擬卡”詳細信息的方法 他們使用卡的詳細信息在美國和德國的商店進行未經授權的交易(大多數受害者在德國)。