據外媒 ZDNet 報道，近日黑客在 PayPal 的 Google Pay 集成中發現了一個漏洞，現在正使用它通過 PayPal 帳戶進行未經授權的交易。自上周五以來，用戶報告稱在其 PayPal 歷史中突然出現了源自其 Google Pay 帳戶的神秘交易。

　　受害者報告說，黑客濫用 Google Pay 帳戶來使用鏈接的 PayPal 帳戶購買產品。根據截圖和各種證詞，大多數非法交易發生在美國商店，尤其是在紐約各地的 Target 商店。而大多數受害者似乎是德國使用者。

　　根據公開報告，估計此次損失在數萬歐元左右，一些未經授權的交易遠超過 1000 歐元。黑客正在利用哪些漏洞尚不清楚。PayPal 告訴 ZDNet，他們正在調查此問題。在這篇文章發表之前，谷歌發言人沒有返回置評請求。

　　德國安全研究員 Markus Fenske 周一在 Twitter 上表示，周末報告的非法交易似乎與他和安全研究員 Andreas Mayer 在 2019 年 2 月向 PayPal 報告的漏洞相似，但 PayPal 沒有優先考慮修復。

　　Fenske 告訴 ZDNet，他發現的漏洞源于以下事實：當用戶將 PayPal 帳戶鏈接到 Google Pay 帳戶時，PayPal 會創建一個虛擬卡，其中包含其自己的卡號，有效期和 CVC。當 Google Pay 用戶選擇使用其 PayPal 帳戶中的資金進行非接觸式付款時，交易將通過該虛擬卡進行收費。

　　Fenske 在接受采訪時說道：“如果僅將虛擬卡鎖定到 POS 交易，就不會有問題，但是 PayPal 允許將該虛擬卡用于在線交易。”Fenske 現在認為，黑客找到了一種方法來發現這些“虛擬卡”的詳細信息，并且正在使用卡的詳細信息在美國商店進行未經授權的交易。

　　研究人員表示，攻擊者可以通過三種方式獲取虛擬卡的詳細信息。首先，通過從用戶的手機/屏幕讀取卡的詳細信息。其次，通過編程方式，使用感染用戶設備的惡意軟件。第三，通過猜測。Fenske 說道：“攻擊者可能只是強行將卡號和有效期強行加起來，而有效期大約在一年左右。這使得搜索空間很小。”他補充說：“ CVC 無關緊要。任何人都被接受。”

　　PayPal 工作人員正在研究不同的問題-包括 Fenske 最新描述的攻擊情形以及他的 2019 年 2 月漏洞報告。PayPal 發言人告訴 ZDNet：“客戶帳戶的安全是公司的重中之重。我們正在審查和評估此信息，并將采取任何必要的行動來進一步保護我們的客戶。”

總結

以上是生活随笔為你收集整理的黑客在PayPal的Google Pay集成中发现漏洞 进行未经授权的付款的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。