據(jù)外媒ZDNet報(bào)道，近日黑客在PayPal的Google Pay集成中發(fā)現(xiàn)了一個(gè)漏洞，現(xiàn)在正使用它通過PayPal帳戶進(jìn)行未經(jīng)授權(quán)的交易。自上周五以來，用戶報(bào)告稱在其PayPal歷史中突然出現(xiàn)了源自其Google Pay帳戶的神秘交易。

受害者報(bào)告說，黑客濫用Google Pay帳戶來使用鏈接的PayPal帳戶購買產(chǎn)品。根據(jù)截圖和各種證詞，大多數(shù)非法交易發(fā)生在美國商店，尤其是在紐約各地的Target商店。而大多數(shù)受害者似乎是德國使用者。

根據(jù)公開報(bào)告，估計(jì)此次損失在數(shù)萬歐元左右，一些未經(jīng)授權(quán)的交易遠(yuǎn)超過1000歐元。黑客正在利用哪些漏洞尚不清楚。PayPal告訴ZDNet，他們正在調(diào)查此問題。在這篇文章發(fā)表之前，谷歌發(fā)言人沒有返回置評請求。

德國安全研究員Markus Fenske周一在Twitter上表示，周末報(bào)告的非法交易似乎與他和安全研究員Andreas Mayer在2019年2月向PayPal報(bào)告的漏洞相似，但PayPal沒有優(yōu)先考慮修復(fù)。

Fenske告訴ZDNet，他發(fā)現(xiàn)的漏洞源于以下事實(shí)：當(dāng)用戶將PayPal帳戶鏈接到Google Pay帳戶時(shí)，PayPal會(huì)創(chuàng)建一個(gè)虛擬卡，其中包含其自己的卡號，有效期和CVC。當(dāng)Google Pay用戶選擇使用其PayPal帳戶中的資金進(jìn)行非接觸式付款時(shí)，交易將通過該虛擬卡進(jìn)行收費(fèi)。

Fenske 在接受采訪時(shí)說道：“如果僅將虛擬卡鎖定到POS交易，就不會(huì)有問題，但是PayPal允許將該虛擬卡用于在線交易。”Fenske現(xiàn)在認(rèn)為，黑客找到了一種方法來發(fā)現(xiàn)這些“虛擬卡”的詳細(xì)信息，并且正在使用卡的詳細(xì)信息在美國商店進(jìn)行未經(jīng)授權(quán)的交易。

研究人員表示，攻擊者可以通過三種方式獲取虛擬卡的詳細(xì)信息。首先，通過從用戶的手機(jī)/屏幕讀取卡的詳細(xì)信息。其次，通過編程方式，使用感染用戶設(shè)備的惡意軟件。第三，通過猜測。Fenske說道：“攻擊者可能只是強(qiáng)行將卡號和有效期強(qiáng)行加起來，而有效期大約在一年左右。這使得搜索空間很小。”他補(bǔ)充說：“ CVC無關(guān)緊要。任何人都被接受。”

PayPal工作人員正在研究不同的問題-包括Fenske最新描述的攻擊情形以及他的2019年2月漏洞報(bào)告。PayPal發(fā)言人告訴ZDNet：“客戶帳戶的安全是公司的重中之重。我們正在審查和評估此信息，并將采取任何必要的行動(dòng)來進(jìn)一步保護(hù)我們的客戶。”

來源：ZDNet

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明