据外媒 ZDNet 报道,近日黑客在 PayPal 的 Google Pay 集成中发现了一个漏洞,现在正使用它通过 PayPal 帐户进行未经授权的交易。自上周五以来,用户报告称在其 PayPal 历史中突然出现了源自其 Google Pay 帐户的神秘交易。
受害者报告说,黑客滥用 Google Pay 帐户来使用链接的 PayPal 帐户购买产品。根据截图和各种证词,大多数非法交易发生在美国商店,尤其是在纽约各地的 Target 商店。而大多数受害者似乎是德国使用者。
根据公开报告,估计此次损失在数万欧元左右,一些未经授权的交易远超过 1000 欧元。黑客正在利用哪些漏洞尚不清楚。PayPal 告诉 ZDNet,他们正在调查此问题。在这篇文章发表之前,谷歌发言人没有返回置评请求。
德国安全研究员 Markus Fenske 周一在 Twitter 上表示,周末报告的非法交易似乎与他和安全研究员 Andreas Mayer 在 2019 年 2 月向 PayPal 报告的漏洞相似,但 PayPal 没有优先考虑修复。
Fenske 告诉 ZDNet,他发现的漏洞源于以下事实:当用户将 PayPal 帐户链接到 Google Pay 帐户时,PayPal 会创建一个虚拟卡,其中包含其自己的卡号,有效期和 CVC。当 Google Pay 用户选择使用其 PayPal 帐户中的资金进行非接触式付款时,交易将通过该虚拟卡进行收费。
Fenske 在接受采访时说道:“如果仅将虚拟卡锁定到 POS 交易,就不会有问题,但是 PayPal 允许将该虚拟卡用于在线交易。”Fenske 现在认为,黑客找到了一种方法来发现这些“虚拟卡”的详细信息,并且正在使用卡的详细信息在美国商店进行未经授权的交易。
研究人员表示,攻击者可以通过三种方式获取虚拟卡的详细信息。首先,通过从用户的手机/屏幕读取卡的详细信息。其次,通过编程方式,使用感染用户设备的恶意软件。第三,通过猜测。Fenske 说道:“攻击者可能只是强行将卡号和有效期强行加起来,而有效期大约在一年左右。这使得搜索空间很小。”他补充说:“ CVC 无关紧要。任何人都被接受。”
PayPal 工作人员正在研究不同的问题-包括 Fenske 最新描述的攻击情形以及他的 2019 年 2 月漏洞报告。PayPal 发言人告诉 ZDNet:“客户帐户的安全是公司的重中之重。我们正在审查和评估此信息,并将采取任何必要的行动来进一步保护我们的客户。”