Brutto guaio per PayPal. A partire da venerdì un numero non ancora precisato di utenti ha visto addebitate sul proprio conto spese per acquisti mai eseguiti, effettuati sia nei negozi fisici sia sugli store online. Sembra essere tutta colpa dell’integrazione fra la piattaforma e il sistema Google Pay dedicato ai pagamenti.
PayPal: spese non autorizzate per gli utenti tedeschi
A riportarlo la redazione del sito ZDNet con la società che ha confermato il problema sottolineando di essere già intervenuta per risolverlo. Da capire ora con quali modalità e quali tempistiche le vittime potranno ricevere il rimborso dei fondi. Il report parla di un’azione che ha colpito in particolare la Germania e di transazioni che in alcuni casi superano i 1.000 euro. Queste le parole attribuite a un portavoce dell’azienda.
La sicurezza degli account degli utenti è una massima priorità per noi. Stiamo analizzando e valutando questa informazione, attueremo ogni misura appropriata che si renderà necessaria per proteggere al meglio i nostri clienti.
Some bitch hacked into my PayPal and bought $500 worth of AirPods (like 3 of em) and Left HER NAME AS THE PICK UP PERSON AT THE EXACT TARGET SHE ORDERED THEM FROM ???? target emailed me and was “like thank you for your order!!!”I GOT YOU “DARLA BIRD” ASS BITCH
— Christopher Perez (@ChrisPerezOne) February 24, 2020
Nessun dettaglio ufficiale in merito a quanto accaduto. L’ipotesi più accreditata è che i malintenzionati abbiano sfruttato un bug già segnalato nel febbraio 2019 a PayPal dal ricercatore tedesco Markus Fenske (ma non preso in considerazione con priorità) e legato alla creazione automatica di una carta virtuale con tanto di numero, data di scadenza e CVC nel momento in cui l’utente associa il proprio conto a quello di Google Pay per le transazioni contactless.
I think we can disclose it by now.
Issue: PayPal allows contactless payments via Google Pay. If you have set it up, you can read the card details of a virtual credit card from the mobile, if the mobiles device is enabled. No auth.
— iblue (@iblueconnection) February 24, 2020
Qualcuno pare aver trovato il modo di entrare in possesso dei dati, presumibilmente attraverso due metodi: leggendoli direttamente sullo schermo del telefono della vittima oppure compromettendo il suo dispositivo con un malware e intercettando poi le informazioni. Il problema non si manifesta per coloro che hanno impostato l’integrazione tra PayPal e Google Pay limitandone l’azione ai pagamenti via POS, mentre consentendo l’utilizzo della carta per gli acquisti online permette a chiunque in possesso dei dati di comprare e addebitare la spesa sul conto altrui. A quanto pare, non viene eseguito nemmeno un controllo sul codice CVC digitato poiché qualsiasi combinazione di tre cifre è accettata.