據(jù)外媒ZDNet報(bào)道,近日黑客在PayPal的Google Pay集成中發(fā)現(xiàn)了一個(gè)漏洞,現(xiàn)在正使用它通過PayPal帳戶進(jìn)行未經(jīng)授權(quán)的交易。自上周五以來(lái),用戶報(bào)告稱在其PayPal歷史中突然出現(xiàn)了源自其Google Pay帳戶的神秘交易。

受害者報(bào)告說,黑客濫用Google Pay帳戶來(lái)使用鏈接的PayPal帳戶購(gòu)買產(chǎn)品。根據(jù)截圖和各種證詞,大多數(shù)非法交易發(fā)生在美國(guó)商店,尤其是在紐約各地的Target商店。而大多數(shù)受害者似乎是德國(guó)使用者。

根據(jù)公開報(bào)告,估計(jì)此次損失在數(shù)萬(wàn)歐元左右,一些未經(jīng)授權(quán)的交易遠(yuǎn)超過1000歐元。黑客正在利用哪些漏洞尚不清楚。PayPal告訴ZDNet,他們正在調(diào)查此問題。在這篇文章發(fā)表之前,谷歌發(fā)言人沒有返回置評(píng)請(qǐng)求。

德國(guó)安全研究員Markus Fenske周一在Twitter上表示,周末報(bào)告的非法交易似乎與他和安全研究員Andreas Mayer在2019年2月向PayPal報(bào)告的漏洞相似,但PayPal沒有優(yōu)先考慮修復(fù)。

Fenske告訴ZDNet,他發(fā)現(xiàn)的漏洞源于以下事實(shí):當(dāng)用戶將PayPal帳戶鏈接到Google Pay帳戶時(shí),PayPal會(huì)創(chuàng)建一個(gè)虛擬卡,其中包含其自己的卡號(hào),有效期和CVC。當(dāng)Google Pay用戶選擇使用其PayPal帳戶中的資金進(jìn)行非接觸式付款時(shí),交易將通過該虛擬卡進(jìn)行收費(fèi)。

Fenske 在接受采訪時(shí)說道:“如果僅將虛擬卡鎖定到POS交易,就不會(huì)有問題,但是PayPal允許將該虛擬卡用于在線交易?！盕enske現(xiàn)在認(rèn)為,黑客找到了一種方法來(lái)發(fā)現(xiàn)這些“虛擬卡”的詳細(xì)信息,并且正在使用卡的詳細(xì)信息在美國(guó)商店進(jìn)行未經(jīng)授權(quán)的交易。

研究人員表示,攻擊者可以通過三種方式獲取虛擬卡的詳細(xì)信息。首先,通過從用戶的手機(jī)/屏幕讀取卡的詳細(xì)信息。其次,通過編程方式,使用感染用戶設(shè)備的惡意軟件。第三,通過猜測(cè)。Fenske說道:“攻擊者可能只是強(qiáng)行將卡號(hào)和有效期強(qiáng)行加起來(lái),而有效期大約在一年左右。這使得搜索空間很小?！彼a(bǔ)充說:“ CVC無(wú)關(guān)緊要。任何人都被接受?！?/p>

PayPal工作人員正在研究不同的問題-包括Fenske最新描述的攻擊情形以及他的2019年2月漏洞報(bào)告。

PayPal發(fā)言人告訴ZDNet:“客戶帳戶的安全是公司的重中之重。我們正在審查和評(píng)估此信息,并將采取任何必要的行動(dòng)來(lái)進(jìn)一步保護(hù)我們的客戶?！?/p>

稿源:cnBeta

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/