聲明：該文章由作者（amiao）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

據(jù)外媒ZDNet報道,近日黑客在PayPal的Google Pay集成中發(fā)現(xiàn)了一個漏洞,現(xiàn)在正使用它通過PayPal帳戶進行未經(jīng)授權(quán)的交易。自上周五以來,用戶報告稱在其PayPal歷史中突然出現(xiàn)了源自其Google Pay帳戶的神秘交易。

受害者報告說,黑客濫用Google Pay帳戶來使用鏈接的PayPal帳戶購買產(chǎn)品。根據(jù)截圖和各種證詞,大多數(shù)非法交易發(fā)生在美國商店,尤其是在紐約各地的Target商店。而大多數(shù)受害者似乎是德國使用者。

根據(jù)公開報告,估計此次損失在數(shù)萬歐元左右,一些未經(jīng)授權(quán)的交易遠超過1000歐元。黑客正在利用哪些漏洞尚不清楚。PayPal告訴ZDNet,他們正在調(diào)查此問題。在這篇文章發(fā)表之前,谷歌發(fā)言人沒有返回置評請求。

德國安全研究員Markus Fenske周一在Twitter上表示,周末報告的非法交易似乎與他和安全研究員Andreas Mayer在2019年2月向PayPal報告的漏洞相似,但PayPal沒有優(yōu)先考慮修復。

Fenske告訴ZDNet,他發(fā)現(xiàn)的漏洞源于以下事實:當用戶將PayPal帳戶鏈接到Google Pay帳戶時,PayPal會創(chuàng)建一個虛擬卡,其中包含其自己的卡號,有效期和CVC。當Google Pay用戶選擇使用其PayPal帳戶中的資金進行非接觸式付款時,交易將通過該虛擬卡進行收費。

Fenske 在接受采訪時說道:“如果僅將虛擬卡鎖定到POS交易,就不會有問題,但是PayPal允許將該虛擬卡用于在線交易。”Fenske現(xiàn)在認為,黑客找到了一種方法來發(fā)現(xiàn)這些“虛擬卡”的詳細信息,并且正在使用卡的詳細信息在美國商店進行未經(jīng)授權(quán)的交易。

研究人員表示,攻擊者可以通過三種方式獲取虛擬卡的詳細信息。首先,通過從用戶的手機/屏幕讀取卡的詳細信息。其次,通過編程方式,使用感染用戶設(shè)備的惡意軟件。第三,通過猜測。Fenske說道:“攻擊者可能只是強行將卡號和有效期強行加起來,而有效期大約在一年左右。這使得搜索空間很小。”他補充說:“ CVC無關(guān)緊要。任何人都被接受?！?/p>

PayPal工作人員正在研究不同的問題-包括Fenske最新描述的攻擊情形以及他的2019年2月漏洞報告。

PayPal發(fā)言人告訴ZDNet:“客戶帳戶的安全是公司的重中之重。我們正在審查和評估此信息,并將采取任何必要的行動來進一步保護我們的客戶?！?/p>

稿源:cnBeta

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/