黑客发现Google Pay里的PayPal账户漏洞:透过虚拟卡来进行未经授权的交易!

随着目前科技越来越发达,从以前的现金交易已慢慢演化成无现金交易,人们只需要一部手机就可进行消费。但在德国就有一群受害者表示其在Google Pay账户所链接的PayPal账户被黑客滥用来进行一些未经授权的交易。

据外媒ZDNet报道,有黑客(hacker)在PayPal的Google Pay集成中发现了一个漏洞,并且正在使用其通过PayPal账户来进行一些未经授权的交易。打从上个星期五以来,就有用户表示在PayPal的历史出现了来自于Google Pay账号的交易。

 

自2月22日开始,就有许多来自德国的受害者就在PayPal的论坛[1,2,3,4,5,6]上表示黑客滥用其Google Pay账号来使用已链接的PayPal账户来购买产品。并且透过了受害者的屏幕截图及各种说明,这大多数的非法交易都发生在美国商店,如来自纽各地的Target上商店。而根据报告,估计在这次事件中损失了将近数万欧元左右,而一些未经授权的交易就超过了1000欧元(约RM4595)。目前尚未清楚黑客们是在利用着哪一个漏洞。而PayPal告诉外媒ZDNet他们正在调查着这次事件的问题所在之处。

 

而来自德国的安全研究员 Markus Fenske就表示这次的非法交易事件就与之前他与另一位名为Andreas Mayer的安全研究员在2019年2月份所发现的漏洞相似,但Paypal方面并没有优先考虑处理。

同时Fenske也告诉外媒ZDNet,他所发现的漏洞。当用户将PayPal账户链接至Google Pay账号时,PayPal将会创建一个虚拟卡(virtual card),当中就包含了用户本身的卡号、有效日期以及该卡的安全码(CVC)。当Google Pay的用户选择使用PayPal账户中的资金来进行付款时,该交易也将通过其虚拟卡来进行收费。
Fenske也表示,如果用户将虚拟卡锁定成POS交易,就不会有该问题出现。但是PayPal就允许了将该虚拟卡用于线上交易(online transactions)。而目前Fenske认为,黑客已经找到了一种方法来发现这些虚拟卡的详细资料,并使用该卡的详细资料来进行未经授权的交易。

 

而研究人员表示,目前攻击者可透过三种方式来获得虚拟卡的详细资料,透过用户手机或屏幕上读取卡的详细资料、透过编程方式并使用恶意软件来影响用户的设备或是透过猜测的方式来获取。Fenske表示,攻击者目前可能是强行将用户的卡号以及有效期强行加起来,而该有效期大概在一年左右。这也使得所需要搜索的范围很小。

 

随后,PayPal的安全团队就开始针对这次未经授权的交易展开调查。而Paypal的工作人员正在研究不同的问题,其中就包括了Fenske所表示有关这次的攻击情形以及他之前在2019年2月份所发现的漏洞。一名PayPal发言然告诉ZDNet,客户账户的安全是最重要的,而他们也在审查及评估这次事件的信息,并将会采取任何必要的行动以进一步去保护客户。而在2月25日时,PayPal就告诉ZDNet他们已经解决了本次所发生的事情。

Source :

About author

Liew Chun Loong

从这立下起点,直接撑到极限