随着目前科技越来越发达,从以前的现金交易已慢慢演化成无现金交易,人们只需要一部手机就可进行消费。但在德国就有一群受害者表示其在Google Pay账户所链接的PayPal账户被黑客滥用来进行一些未经授权的交易。
据外媒ZDNet报道,有黑客(hacker)在PayPal的Google Pay集成中发现了一个漏洞,并且正在使用其通过PayPal账户来进行一些未经授权的交易。打从上个星期五以来,就有用户表示在PayPal的历史出现了来自于Google Pay账号的交易。
自2月22日开始,就有许多来自德国的受害者就在PayPal的论坛[1,2,3,4,5,6]上表示黑客滥用其Google Pay账号来使用已链接的PayPal账户来购买产品。并且透过了受害者的屏幕截图及各种说明,这大多数的非法交易都发生在美国商店,如来自纽各地的Target上商店。而根据报告,估计在这次事件中损失了将近数万欧元左右,而一些未经授权的交易就超过了1000欧元(约RM4595)。目前尚未清楚黑客们是在利用着哪一个漏洞。而PayPal告诉外媒ZDNet他们正在调查着这次事件的问题所在之处。
https://twitter.com/iblueconnection/status/1231962017734516741
而来自德国的安全研究员 Markus Fenske就表示这次的非法交易事件就与之前他与另一位名为Andreas Mayer的安全研究员在2019年2月份所发现的漏洞相似,但Paypal方面并没有优先考虑处理。
而研究人员表示,目前攻击者可透过三种方式来获得虚拟卡的详细资料,透过用户手机或屏幕上读取卡的详细资料、透过编程方式并使用恶意软件来影响用户的设备或是透过猜测的方式来获取。Fenske表示,攻击者目前可能是强行将用户的卡号以及有效期强行加起来,而该有效期大概在一年左右。这也使得所需要搜索的范围很小。
随后,PayPal的安全团队就开始针对这次未经授权的交易展开调查。而Paypal的工作人员正在研究不同的问题,其中就包括了Fenske所表示有关这次的攻击情形以及他之前在2019年2月份所发现的漏洞。一名PayPal发言然告诉ZDNet,客户账户的安全是最重要的,而他们也在审查及评估这次事件的信息,并将会采取任何必要的行动以进一步去保护客户。而在2月25日时,PayPal就告诉ZDNet他们已经解决了本次所发生的事情。