Разрыв, который допускал несанкционированный дебет PayPal через Google Pay, по-видимому, только недавно - был исправлен PayPal.
В феврале 2020 года кибер-гангстеры широко использовали дыру в безопасности в виртуальных кредитных картах PayPal для несанкционированных дебетов, созданных для Google Pay. Исследователи, обнаружившие пробел в то время, уже сообщили PayPal подробности в феврале 2019 года.
Хотя в конце февраля компания заявила, что, наконец, «решила проблему» (которая осталась в неведении), анализ, проведенный исследовательской группой, показал, что разрыв остается уязвимым. Теперь говорят, что PayPal незаметно улучшился: по словам исследователей, полное исправление было сделано только за последние четыре недели.
Волна мошенничества утихла - пропасть осталась
Heise Security подробно сообщила о деталях процессов в феврале. В то время рекомендация исследовательской группы Маркуса Фенске состояла в том, чтобы деактивировать Mastercard, сгенерированную PayPal при соединении с Google Pay, до дальнейшего уведомления или расторгнуть соглашение о дебете с Google Pay, чтобы Google Pay больше не мог дебетовать счет PayPal.
В последующие недели разрыв стал слабым: отзывы обманутых пользователей PayPal, которые ранее обменивались идеями с другими на форумах, исчезали. Вероятно, потому, что многие пользователи приняли меры предосторожности, которые были рекомендованы, и мошенничество стало непривлекательным для мошенников. По-видимому, PayPal также реализовал свое объявление, чтобы просто возместить неавторизованные списанные суммы, к удовлетворению пользователей.
«Исправлено в какой-то момент за последние 4 недели»
По предложению читателя heise Security снова спросил у Маркуса Фенске, не произошло ли что-нибудь с уязвимостью с февраля. Затем исследователи использовали как старые, так и недавно созданные виртуальные кредитные карты, чтобы проверить, можно ли еще использовать этот разрыв.
12 апреля Фенске сообщил нам, что на самом деле это уже невозможно: «Мы не могли ни делать пожертвования в пользу Викимедиа, ни покупать у Amazon, ни с новыми, ни со старыми картами». Однако его коллега по исследованиям все еще был в состоянии заплатить за его парковочные билеты в середине прошлого месяца. «Таким образом, проблема была фактически решена где-то за последние 4 недели».
Несколькими неделями ранее все еще можно было использовать разрыв со старыми виртуальными кредитными картами, в то время как PayPal уже проверил «CVV и / или дату истечения», по крайней мере, для новых карт. PayPal больше ничего не ответил в связи с пробелами.
Следует отметить, что исследователи не проводили обширные тесты текущего состояния, а только краткую проверку.
Хотя PayPal ранее не комментировал уязвимость безопасности для heise Security, а также не хотел отвечать, была ли вообще «проблема», якобы решенная в феврале, основана на этой уязвимости, мы связались - в очень короткие сроки - еще раз с компанией относительно очевидной проблемы сделал ли исправления PayPal. Но до сих пор нет ответа.