Множество аккаунтов Paypal было взломаны через интеграцию с Google Pay
Многочисленные аккаунты пользователей PayPal были взломаны хакерами, 25 февраля сообщает электронный журнал ZDNet.
Предполагается, что получить доступ к пользовательским счетам получилось через систему интеграции PayPal и Google Pay (еще одна система оплаты, используемая, в том числе, для оплаты покупок с телефона через протокол NFC).
Жертвами хакеров стали, в основном, пользователи из Германии. А вот несанкционированные платежи с их счетов совершались преимущественно в магазинах США. В ZDNet сообщают, что ущерб уже идет на десятки тысяч евро, а отдельные транзакции превысили сумму в тысячу евро.
В PayPal сообщили о расследовании инцидента, но подробности пока не выяснены.
Своим мнением также поделился специалист по кибербезопасности из Германии Маркус Фенске. Фенске считает, что для несанкционированных платежей могла быть использована уязвимость, о которой они с коллегой сообщали в PayPal еще в феврале 2019 года. Однако в PayPal сочли исправление данной ошибки неприоритетной задачей.
Данная уязвимость связана с созданием виртуальной карты, отдельной от банковской карты владельца, специально для аккаунта в PayPal. У этих карт относительно короткий срок использования — около года, и с нее можно оплачивать в интернете, а не только через кассовый терминал. Для оплаты требуются номер карты и срок ее действия без CVC кода.
В результате могут быть использованы три сценария, позволяющие узнать номера карт и их срок действия.
Во-первых, злоумышленники могли считать данные с экранов телефонов. Во-вторых, распространить вредоносное программное обеспечение, которое, проникнув на телефон пользователя, отправляло бы данные виртуальной карты.
В-третьих, просто перебрать. Поскольку номеров виртуальных карт не так много, а срок их действия около года, то достаточно перебирать для каждого вероятного номера по 12 вариантов.
Напомним, 24 февраля появилась информация, что специалисты Cybernews отправили в PayPal информацию о шести найденных уязвимостях. Но вместо заявленного PayPal в марте 2018 года материального вознаграждения за найденные уязвимости они получили снижения рейтинга в системе HackerOne.
Читайте также: Paypal наказал хакеров, которые помогли найти уязвимости
HackerOne — это компания в области информационной безопасности, строящая свою бизнес-модель на использовании хакеров для поиска уязвимостей в системах заказчиков. Услугами HackerOne пользуются многие крупные IT-компании и государственные службы ряда стран. В частности, в 2016 году через программу вознаграждения было выплачено $71 200 за найденные ошибки веб-сайта министерства обороны США.
