「」黑客在PayPal的Google Pay集成中发现漏洞 进行未经授权的付款
据外媒ZDNet报道 , 近日黑客在PayPal的Google Pay集成中发现了一个漏洞 , 现在正使用它通过PayPal帐户进行未经授权的交易 。自上周五以来 , 用户报告称在其PayPal历史中突然出现了源自其Google Pay帐户的神秘交易 。
文章图片
文章图片
受害者报告说 , 黑客滥用Google Pay帐户来使用链接的PayPal帐户购买产品 。根据截图和各种证词 , 大多数非法交易发生在美国商店 , 尤其是在纽约各地的Target商店 。而大多数受害者似乎是德国使用者 。
根据公开报告 , 估计此次损失在数万欧元左右 , 一些未经授权的交易远超过1000欧元 。黑客正在利用哪些漏洞尚不清楚 。PayPal告诉ZDNet , 他们正在调查此问题 。在这篇文章发表之前 , 谷歌发言人没有返回置评请求 。
德国安全研究员Markus Fenske周一在Twitter上表示 , 周末报告的非法交易似乎与他和安全研究员Andreas Mayer在2019年2月向PayPal报告的漏洞相似 , 但PayPal没有优先考虑修复 。
【「」黑客在PayPal的Google Pay集成中发现漏洞 进行未经授权的付款】
文章图片
文章图片
Fenske告诉ZDNet , 他发现的漏洞源于以下事实:当用户将PayPal帐户链接到Google Pay帐户时 , PayPal会创建一个虚拟卡 , 其中包含其自己的卡号 , 有效期和CVC 。当Google Pay用户选择使用其PayPal帐户中的资金进行非接触式付款时 , 交易将通过该虚拟卡进行收费 。
Fenske 在接受采访时说道:“如果仅将虚拟卡锁定到POS交易 , 就不会有问题 , 但是PayPal允许将该虚拟卡用于在线交易 。”Fenske现在认为 , 黑客找到了一种方法来发现这些“虚拟卡”的详细信息 , 并且正在使用卡的详细信息在美国商店进行未经授权的交易 。
研究人员表示 , 攻击者可以通过三种方式获取虚拟卡的详细信息 。首先 , 通过从用户的手机/屏幕读取卡的详细信息 。其次 , 通过编程方式 , 使用感染用户设备的恶意软件 。第三 , 通过猜测 。Fenske说道:“攻击者可能只是强行将卡号和有效期强行加起来 , 而有效期大约在一年左右 。这使得搜索空间很小 。”他补充说:“ CVC无关紧要 。任何人都被接受 。”
PayPal工作人员正在研究不同的问题-包括Fenske最新描述的攻击情形以及他的2019年2月漏洞报告 。PayPal发言人告诉ZDNet:“客户帐户的安全是公司的重中之重 。我们正在审查和评估此信息 , 并将采取任何必要的行动来进一步保护我们的客户 。”
推荐阅读
- 「IT之家」对标Apple Card:谷歌拟推Google Card借记卡
- 『谷歌』外泄谍照显示谷歌拟推Google Card借记卡
- 『C114中国通信网』苹果iPhone SE 2等机型可通过eSIM激活Google Fi服务
- 『』苹果iPhone SE 2等机型可通过eSIM激活Google Fi服务
- ■1580枚比特币!欧洲能源巨头EDP集团惨遭黑客勒索
- 『Google Play』一直说的订阅政策更新来了 6月16日是最后期限
- 『谷歌』Google Pixel 4系列手机即日起支持双卡双待
- 「Google」为缓解宽带压力!谷歌将降低Nest相机的质量,但用户却不买账
- 『谷歌』Google有意向研发自产芯片,应用于未来旗下数码产品
- 【黑客日】硬核测评!苹果iPhone 11 Pro和Pro Max——结论,买还是不买