Contas do PayPal invadidas fazem pagamentos não autorizados em massa, prejudicando centenas de clientes. Somente nesta terça-feira, 25 de fevereiro, o PayPal disse que havia resolvido o problema que estava sendo explorado no fim de semana. Os hackers encontraram um bug na integração com o Google Pay do PayPal e agora o estão usando para realizar transações não autorizadas via contas do PayPal.
Desde sexta-feira passada, os usuários relataram ter visto transações misteriosas aparecerem no histórico do PayPal como originárias da conta do Google Pay.
Problemas foram relatados em várias plataformas, como os fóruns do PayPal [ 1 , 2 , 3 , 4 , 5 , 6 , 7 ], Reddit [ 1 , 2 ], Twitter, [ 1 , 2 ] e o suporte em russo e alemão do Google Pay fóruns [ 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 , 10 ].
Contas do PayPal invadidas fazem pagamentos não autorizados em massa
As vítimas relataram que os hackers abusaram das contas do Google Pay para comprar produtos usando contas vinculadas do PayPal. De acordo com as capturas de tela e vários testemunhos, a maioria das transações ilegais ocorre nas lojas dos EUA e, principalmente, nas lojas da Target em Nova York.
A maioria das vítimas parece ser usuário alemão.
Os danos estimados estão na faixa de dezenas de milhares de euros, com base em relatórios públicos, e algumas das transações não autorizadas ultrapassam a marca de € 1.000.
O que os hackers de bugs estão explorando ainda não está claro. O PayPal disse ao ZDNet que estava investigando o problema.
UM PESQUISADOR DE SEGURANÇA ALEMÃO TEM UMA TEORIA
I think we can disclose it by now.
Issue: PayPal allows contactless payments via Google Pay. If you have set it up, you can read the card details of a virtual credit card from the mobile, if the mobiles device is enabled. No auth.
— iblue (@iblueconnection) February 24, 2020
No Twitter, um pesquisador de segurança alemão chamado Markus Fenske disse que as transações ilegais que foram relatadas no fim de semana parecem semelhantes a um bug que ele e seu colega pesquisador de segurança Andreas Mayer relataram ao PayPal em fevereiro de 2019, mas que o PayPal não priorizou.
Fenske disse ao ZDNet que o bug que ele encontrou decorre do fato de que, quando você vincula uma conta do PayPal a uma conta do Google Pay, o PayPal cria um cartão virtual, completo com seu próprio número de cartão, data de validade e CVC.
Quando um usuário do Google Pay opta por efetuar um pagamento sem contato usando fundos de sua conta do PayPal, a transação é cobrada por esse cartão virtual.
Se o cartão virtual estivesse bloqueado apenas para transações de POS, não haveria problema, mas o PayPal permite que esse cartão virtual seja usado para transações on-line, disse Fenske.
Fenske agora acredita que os hackers encontraram uma maneira de descobrir os detalhes desses “cartões virtuais” e estão usando os dados do cartão para transações não autorizadas nas lojas dos EUA.
O pesquisador disse que pode haver três maneiras pelas quais um invasor pode obter os detalhes de um cartão virtual. Primeiro, lendo os detalhes do cartão no telefone ou tela de um usuário. Segundo, usando malware que infectou o dispositivo de um usuário. Terceiro, adivinhando.
É possível que o atacante tenha forçado brutalmente o número do cartão e a data de validade, que dura cerca de um ano, disse Fenske. Isso cria um espaço de pesquisa bastante pequeno. O CVC não importa, acrescentou. Qualquer um é aceito.
O PAYPAL ESTÁ INVESTIGANDO
No entanto, Fenske foi o primeiro a admitir ao ZDNet que ele e Mayer estão apenas adivinhando a causa real do ataque – mesmo que os detalhes se encaixem perfeitamente no bug que eles relataram no ano passado.
Por outro lado, a equipe de segurança do PayPal iniciou uma investigação sobre transações não autorizadas assim que o ZDNet entrou em contato.
A equipe do PayPal está analisando diferentes problemas – incluindo o cenário de ataque descrito por Fenske hoje e seu relatório de erros de fevereiro de 2019.
A segurança das contas dos clientes é uma das principais prioridades da empresa, disse um porta-voz do PayPal à ZDNet. Estamos analisando e avaliando essas informações e tomaremos as ações apropriadas que forem necessárias para proteger ainda mais nossos clientes.
ZDNet