绑Google Pay的PayPal服务出现漏洞,导致美国、德国和俄罗斯多名用户上周边到不明人士盗刷购物。
上周起多名PayPal用户通过PayPal社群、Reddit及推特反映,他们的PayPal账户遭到盗刷购物,金额从上百到上千欧元不等。这些用户以德国为最大宗,但也包含美国、俄罗斯用户,他们的共同点都是绑Google Pay服务。盗刷的“犯罪地点”皆位于美国,像是3C卖场Target及星巴克的线上或实体商店。
Paypal获通报后,已经退款给受影响的消费者。
黑客如何黑入Paypal账户不得而知,但代号iblue的德国安全研究人员怀疑,这和他与同事去年发现的PayPal漏洞有关。iBlue解释,用户把PayPal连接Google Pay时,PayPal以Paypal卡号、到期日和认证码(CVC)创建了虚拟卡片。而当Google Pay用户刷卡以PayPal账户支付时,就是从该虚拟卡扣款。因此如果虚拟卡信息被黑客取得,就能盗刷交易,而且输入任何CVC码都接受。
安全人员指出,取得虚拟卡信息的方法有三,一是从手机屏幕上偷看到,二是以恶意程序窃取信息,最后则是以暴力破解法,猜出PayPal卡号及有效日期。
这名安全人员说,去年他们就将漏洞通报给PayPal,而在180天的缄默期后,显然PayPal并未修补,于是他决定公布出来。
PayPal对BleepingComputer和ZDNet表示,他们正在调查这起盗刷事件。