圖片來源: 

Paypal

綁Google Pay的PayPal服務出現漏洞,導致美國、德國和俄羅斯多名用戶上周遭到不明人士盜刷購物。

上周起多名PayPal用戶透過PayPal社群Reddit推特反映,他們的PayPal帳戶遭到盜刷購物,金額從上百到上千歐元不等。這些用戶以德國為最大宗,但也包含美國、俄羅斯用戶,他們的共同點都是綁Google Pay服務。盜刷的「犯罪地點」皆位於美國,像是3C賣場Target及星巴克的線上或實體商店。

Paypal獲通報後,已經退款給受影響的消費者。

駭客如何駭入Paypal帳戶不得而知,但代號iblue的德國安全研究人員懷疑,這和他與同事去年發現的PayPal漏洞有關。iBlue解釋,用戶把PayPal連結Google Pay時,PayPal以Paypal卡號、到期日和認證碼(CVC)建立了虛擬卡片。而當Google Pay 用戶刷卡以PayPal帳戶支付時,就是從該虛擬卡扣款。因此如果虛擬卡資訊被駭客取得,就能盜刷交易,而且輸入任何CVC碼都接受。

安全人員指出,取得虛擬卡資訊的方法有三,一是從手機螢幕上偷看到,二是以惡意程式竊取資訊,最後則是以暴力破解法,猜出PayPal卡號及有效日期。

這名安全人員說,去年他們就將漏洞通報給PayPal,而在180天的緘默期後,顯然PayPal並未修補,於是他決定公布出來。

PayPal對BleepingComputerZDNet表示,他們正在調查這起盜刷事件。


Advertisement

更多 iThome相關內容