據(jù)外媒 ZDNet 報(bào)道，近日黑客在 PayPal 的 Google Pay 集成中發(fā)現(xiàn)了一個(gè)漏洞，現(xiàn)在正使用它通過(guò) PayPal 帳戶(hù)進(jìn)行未經(jīng)授權(quán)的交易。自上周五以來(lái)，用戶(hù)報(bào)告稱(chēng)在其 PayPal 歷史中突然出現(xiàn)了源自其 Google Pay 帳戶(hù)的神秘交易。

　　受害者報(bào)告說(shuō)，黑客濫用 Google Pay 帳戶(hù)來(lái)使用鏈接的 PayPal 帳戶(hù)購(gòu)買(mǎi)產(chǎn)品。根據(jù)截圖和各種證詞，大多數(shù)非法交易發(fā)生在美國(guó)商店，尤其是在紐約各地的 Target 商店。而大多數(shù)受害者似乎是德國(guó)使用者。

　　根據(jù)公開(kāi)報(bào)告，估計(jì)此次損失在數(shù)萬(wàn)歐元左右，一些未經(jīng)授權(quán)的交易遠(yuǎn)超過(guò) 1000 歐元。黑客正在利用哪些漏洞尚不清楚。PayPal 告訴 ZDNet，他們正在調(diào)查此問(wèn)題。在這篇文章發(fā)表之前，谷歌發(fā)言人沒(méi)有返回置評(píng)請(qǐng)求。

　　德國(guó)安全研究員 Markus Fenske 周一在 Twitter 上表示，周末報(bào)告的非法交易似乎與他和安全研究員 Andreas Mayer 在 2019 年 2 月向 PayPal 報(bào)告的漏洞相似，但 PayPal 沒(méi)有優(yōu)先考慮修復(fù)。

　　Fenske 告訴 ZDNet，他發(fā)現(xiàn)的漏洞源于以下事實(shí)：當(dāng)用戶(hù)將 PayPal 帳戶(hù)鏈接到 Google Pay 帳戶(hù)時(shí)，PayPal 會(huì)創(chuàng)建一個(gè)虛擬卡，其中包含其自己的卡號(hào)，有效期和 CVC。當(dāng) Google Pay 用戶(hù)選擇使用其 PayPal 帳戶(hù)中的資金進(jìn)行非接觸式付款時(shí)，交易將通過(guò)該虛擬卡進(jìn)行收費(fèi)。

　　Fenske 在接受采訪(fǎng)時(shí)說(shuō)道：“如果僅將虛擬卡鎖定到 POS 交易，就不會(huì)有問(wèn)題，但是 PayPal 允許將該虛擬卡用于在線(xiàn)交易。”Fenske 現(xiàn)在認(rèn)為，黑客找到了一種方法來(lái)發(fā)現(xiàn)這些“虛擬卡”的詳細(xì)信息，并且正在使用卡的詳細(xì)信息在美國(guó)商店進(jìn)行未經(jīng)授權(quán)的交易。

　　研究人員表示，攻擊者可以通過(guò)三種方式獲取虛擬卡的詳細(xì)信息。首先，通過(guò)從用戶(hù)的手機(jī)/屏幕讀取卡的詳細(xì)信息。其次，通過(guò)編程方式，使用感染用戶(hù)設(shè)備的惡意軟件。第三，通過(guò)猜測(cè)。Fenske 說(shuō)道：“攻擊者可能只是強(qiáng)行將卡號(hào)和有效期強(qiáng)行加起來(lái)，而有效期大約在一年左右。這使得搜索空間很小。”他補(bǔ)充說(shuō)：“ CVC 無(wú)關(guān)緊要。任何人都被接受。”

　　PayPal 工作人員正在研究不同的問(wèn)題-包括 Fenske 最新描述的攻擊情形以及他的 2019 年 2 月漏洞報(bào)告。PayPal 發(fā)言人告訴 ZDNet：“客戶(hù)帳戶(hù)的安全是公司的重中之重。我們正在審查和評(píng)估此信息，并將采取任何必要的行動(dòng)來(lái)進(jìn)一步保護(hù)我們的客戶(hù)。”

總結(jié)

以上是生活随笔為你收集整理的黑客在PayPal的Google Pay集成中发现漏洞 进行未经授权的付款的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。