受害者報告說,駭客濫用Google Pay帳戶來使用連結的PayPal帳戶購買產品。根據截圖和各種證詞,大多數非法交易發生在美國商店,尤其是在紐約各地的Target商店。而大多數受害者似乎是德國使用者。
德國安全研究員Markus Fenske週一在Twitter上表示,週末報告的非法交易似乎與他和安全研究員Andreas Mayer在2019年2月向PayPal報告的漏洞相似,但PayPal沒有優先考慮修復。
Fenske告訴ZDNet,他發現的漏洞源於以下事實:當用戶將PayPal帳戶連結到Google Pay帳戶時,PayPal會建立一個虛擬卡,其中包含其自己的卡號,有效期和CVC。當Google Pay使用者選擇使用其PayPal帳戶中的資金進行非接觸式付款時,交易將透過該虛擬卡進行收費。
研究人員表示,攻擊者可以透過三種方式獲取虛擬卡的詳細資訊。首先,透過從使用者的手機/螢幕讀取卡的詳細資訊。其次,透過程式設計方式,使用感染使用者裝置的惡意軟體。第三,透過猜測。Fenske說道:“攻擊者可能只是強行將卡號和有效期強行加起來,而有效期大約在一年左右。這使得搜尋空間很小。”他補充說:“ CVC無關緊要。任何人都被接受。”
PayPal工作人員正在研究不同的問題-包括Fenske最新描述的攻擊情形以及他的2019年2月漏洞報告。PayPal發言人告訴ZDNet:“客戶帳戶的安全是公司的重中之重。我們正在審查和評估此資訊,並將採取任何必要的行動來進一步保護我們的客戶。”
受害者報告說,駭客濫用Google Pay帳戶來使用連結的PayPal帳戶購買產品。根據截圖和各種證詞,大多數非法交易發生在美國商店,尤其是在紐約各地的Target商店。而大多數受害者似乎是德國使用者。
德國安全研究員Markus Fenske週一在Twitter上表示,週末報告的非法交易似乎與他和安全研究員Andreas Mayer在2019年2月向PayPal報告的漏洞相似,但PayPal沒有優先考慮修復。
Fenske告訴ZDNet,他發現的漏洞源於以下事實:當用戶將PayPal帳戶連結到Google Pay帳戶時,PayPal會建立一個虛擬卡,其中包含其自己的卡號,有效期和CVC。當Google Pay使用者選擇使用其PayPal帳戶中的資金進行非接觸式付款時,交易將透過該虛擬卡進行收費。
研究人員表示,攻擊者可以透過三種方式獲取虛擬卡的詳細資訊。首先,透過從使用者的手機/螢幕讀取卡的詳細資訊。其次,透過程式設計方式,使用感染使用者裝置的惡意軟體。第三,透過猜測。Fenske說道:“攻擊者可能只是強行將卡號和有效期強行加起來,而有效期大約在一年左右。這使得搜尋空間很小。”他補充說:“ CVC無關緊要。任何人都被接受。”
PayPal工作人員正在研究不同的問題-包括Fenske最新描述的攻擊情形以及他的2019年2月漏洞報告。PayPal發言人告訴ZDNet:“客戶帳戶的安全是公司的重中之重。我們正在審查和評估此資訊,並將採取任何必要的行動來進一步保護我們的客戶。”