ثغرة باي بال مع قوقل بلاي
كن حذرًا إذا كنت قد استخدمت PayPal للدفع من خلال Google: فهم يسرقون الأموال
يعد PayPal أحد أكثر أنظمة الدفع عبر الإنترنت استخدامًا في العالم بفضل أمانه. هذا هو السبب في أن موقع الويب هو الذي يحاول حاليًا تلقي معظم الهجمات ، نظرًا لأن الوصول إلى PayPal يمكن أن يكون مربحًا جدًا للمتسلل. الآن ، يحاول هجوم سرقة الأموال من أولئك الذين لديهم حساب PayPal مرتبط بـ Google Pay ، المدعوم من قبل أكثر من عشرين بنكًا في إسبانيا.
يبدو أن اللوم هو ثغرة أمنية في تكامل PayPal مع Google Pay. من خلال هذا الخلل ، يمكن للمهاجم إجراء عمليات شراء ورسوم غير مصرح بها على حساب PayPal الخاص بنا. بدأ كل شيء يوم الجمعة الماضي ، عندما بدأ العديد من المستخدمين في ملء منتديات Reddit أو Twitter أو PayPal الخاصة بشكاوى من مدفوعات غير مصرح بها تم إجراؤها من خلال حساب Google Pay الخاص بهم.
أثر الهجوم بشكل أساسي على المستخدمين في الولايات المتحدة وألمانيا ، حيث يتم إجراء العديد من عمليات الشراء في البلد الأول في متجر Target. في الوقت الحالي ، تشير التقديرات إلى حدوث عمليات سطو بقيمة عشرات الآلاف من اليورو ، مع معاملات تجاوزت 1000 يورو.
تجاهل PayPal المحقق الذي كشف الثغرة الأمنية
يقوم PayPal حاليًا بالتحقيق في الموقف كما هو مؤكد ، لكن Google لم تقل أي شيء عنه حتى الآن. يدعي باحث أمني ألماني يدعى Markus Fenske أن الخلل مشابه للعيب الذي وجده في فبراير 2019 في PayPal ، وعندما أبلغ PayPal عن ذلك ، أخبرته المنصة أنه ليس عيبًا أمنيًا . بعد الجدل ، أعطوه مكافأة للعثور على الخطأ ، لكن PayPal لم يقل ما إذا كان قد أصلحه. أخيرًا ، يبدو أنهم لم يفعلوا ذلك.
وفقًا لـ Fenske ، فإن العيب هو أن PayPal يسمح بالدفع بدون تلامس من خلال Google Pay . إذا قمت بتكوين PayPal في Google Pay ، فيمكنك قراءة بيانات البطاقة الافتراضية المخزنة في الهاتف المحمول إذا قمت بتمرير قارئ بالقرب منها. عندما نربط حساب PayPal الخاص بنا ، تُنشئ المنصة بطاقة افتراضية لـ Google Pay برقم بطاقتك وتاريخ انتهاء الصلاحية و CVC الفريد ، وهذا هو الذي يمكنهم سرقته. بهذه الطريقة ، عندما نقوم بدفع Google Pay بدون تلامس باستخدام أموال PayPal ، يتم استخدام هذه البطاقة الافتراضية.
إذا كان من الممكن إجراء المعاملات فقط في نقطة بيع فعلية ، فلن تكون هناك مشكلة. ومع ذلك ، يسمح PayPal باستخدام هذه البطاقات الافتراضية للمعاملات عبر الإنترنت ، وهذا هو النظام الذي يستفيد منه المتسللون. إنهم لا يعرفون بالضبط كيفية حدوث السرقة ، حيث يمكنهم القيام بذلك عن طريق الحصول على البيانات التي يرونها على شاشة الهاتف المحمول ، أو عن طريق الاتصال ، أو عن طريق البرامج الضارة ، أو عن طريق التخمين باستخدام القوة الغاشمة.
لا يعرف PayPal في الوقت الحالي سبب الهجوم ، على الرغم من أن الثغرة الأمنية لعام 2019 هي مرشح رائع له. بمجرد تحديد سبب الفشل ، يقولون إنهم سيتخذون الإجراء المناسب لحماية المستهلكين. حول إعادة الأموال المسروقة للمستخدمين لم يقلوا شيئًا.
تحديث: أكد PayPal أنه لم يتم الوصول إلى حسابات المستخدمين الشخصية ، وسوف يقوم برد أي معاملات غير مصرح بها للعملاء المتأثرين.
