綁Google Pay的PayPal帳戶遭盜刷，美、德及俄國用戶遭殃

綁Google Pay的PayPal服務出現漏洞，導致美國、德國和俄羅斯多名用戶上周遭到不明人士盜刷購物。

上周起多名PayPal用戶透過PayPal社群、Reddit及推特反映，他們的PayPal帳戶遭到盜刷購物，金額從上百到上千歐元不等。這些用戶以德國為最大宗，但也包含美國、俄羅斯用戶，他們的共同點都是綁Google Pay服務。盜刷的「犯罪地點」皆位於美國，像是3C賣場Target及星巴克的線上或實體商店。

Paypal獲通報後，已經退款給受影響的消費者。

駭客如何駭入Paypal帳戶不得而知，但代號iblue的德國安全研究人員懷疑，這和他與同事去年發現的PayPal漏洞有關。iBlue解釋，用戶把PayPal連結Google Pay時，PayPal以Paypal卡號、到期日和認證碼（CVC）建立了虛擬卡片。而當Google Pay 用戶刷卡以PayPal帳戶支付時，就是從該虛擬卡扣款。因此如果虛擬卡資訊被駭客取得，就能盜刷交易，而且輸入任何CVC碼都接受。

安全人員指出，取得虛擬卡資訊的方法有三，一是從手機螢幕上偷看到，二是以惡意程式竊取資訊，最後則是以暴力破解法，猜出PayPal卡號及有效日期。

這名安全人員說，去年他們就將漏洞通報給PayPal，而在180天的緘默期後，顯然PayPal並未修補，於是他決定公布出來。

PayPal對BleepingComputer和ZDNet表示，他們正在調查這起盜刷事件。