據(jù)外媒ZDNet報道,近日黑客在PayPal的Google Pay集成中發(fā)現(xiàn)了一個漏洞�,現(xiàn)在正使用它通過PayPal帳戶進行未經(jīng)授權的交易。自上周五以來����,用戶報告稱在其PayPal歷史中突然出現(xiàn)了源自其Google Pay帳戶的神秘交易。
受害者報告說�,黑客濫用Google Pay帳戶來使用鏈接的PayPal帳戶購買產(chǎn)品。根據(jù)截圖和各種證詞�,大多數(shù)非法交易發(fā)生在美國商店,尤其是在紐約各地的Target商店����。而大多數(shù)受害者似乎是德國使用者����。
根據(jù)公開報告���,估計此次損失在數(shù)萬歐元左右���,一些未經(jīng)授權的交易遠超過1000歐元。黑客正在利用哪些漏洞尚不清楚�。PayPal告訴ZDNet,他們正在調查此問題��。在這篇文章發(fā)表之前���,谷歌發(fā)言人沒有返回置評請求���。
德國安全研究員Markus Fenske周一在Twitter上表示,周末報告的非法交易似乎與他和安全研究員Andreas Mayer在2019年2月向PayPal報告的漏洞相似����,但PayPal沒有優(yōu)先考慮修復。
Fenske告訴ZDNet��,他發(fā)現(xiàn)的漏洞源于以下事實:當用戶將PayPal帳戶鏈接到Google Pay帳戶時�,PayPal會創(chuàng)建一個虛擬卡���,其中包含其自己的卡號����,有效期和CVC。當Google Pay用戶選擇使用其PayPal帳戶中的資金進行非接觸式付款時�����,交易將通過該虛擬卡進行收費����。
Fenske 在接受采訪時說道:“如果僅將虛擬卡鎖定到POS交易,就不會有問題��,但是PayPal允許將該虛擬卡用于在線交易�。”Fenske現(xiàn)在認為��,黑客找到了一種方法來發(fā)現(xiàn)這些“虛擬卡”的詳細信息�����,并且正在使用卡的詳細信息在美國商店進行未經(jīng)授權的交易����。
研究人員表示��,攻擊者可以通過三種方式獲取虛擬卡的詳細信息����。首先��,通過從用戶的手機/屏幕讀取卡的詳細信息���。其次����,通過編程方式����,使用感染用戶設備的惡意軟件。第三��,通過猜測�。Fenske說道:“攻擊者可能只是強行將卡號和有效期強行加起來,而有效期大約在一年左右���。這使得搜索空間很小���?�!彼a充說:“ CVC無關緊要���。任何人都被接受����。”
PayPal工作人員正在研究不同的問題-包括Fenske最新描述的攻擊情形以及他的2019年2月漏洞報告�����。PayPal發(fā)言人告訴ZDNet:“客戶帳戶的安全是公司的重中之重���。我們正在審查和評估此信息����,并將采取任何必要的行動來進一步保護我們的客戶����。”
