Gli hacker hanno scoperto un bug nell’integrazione fra Google Pay e PayPal e ora lo stanno utilizzando per eseguire transazioni non autorizzate tramite account PayPal compromessi. Dallo scorso venerdì, infatti, diversi utenti hanno riferito di aver riscontrato nel loro saldo di PayPal transazioni misteriose originate dal rispettivo account Google Pay. Tali problemi sono stati segnalati su numerose piattaforme, come i forum di Reddit relativi a PayPal, Twitter e le pagine in russo e tedesco del forum di supporto Google Pay.

Le vittime hanno riferito che gli hacker hanno abusato degli account Google Pay per acquistare prodotti utilizzando gli account PayPal a questi collegati. Secondo le relative schermate e varie testimonianze, la maggior parte delle transazioni illegali sono avvenute in negozi statunitensi, in particolare della catena Target, a New York. La maggior parte delle vittime sembrano essere utenti tedeschi.

I danni stimati sono dell’ordine di decine di migliaia di euro, sulla base di relazioni pubbliche; alcune delle transazioni non autorizzate superano il valore di 1.000 €. Quali siano i bug che gli hacker stanno sfruttando non è ancora chiaro. PayPal ha riferito a ZDNet che stanno indagando sul problema. Un portavoce di Google non ha ancora risposto alle richieste di commenti al momento.

Su Twitter, Markus Fenske, un ricercatore di sicurezza tedesco, ha dichiarato che le transazioni illegali segnalate nel fine settimana sembrano essere simili a quelle relative a un bug che lui e un suo collega ricercatore di sicurezza (Andreas Mayer) hanno segnalato a PayPal già nel febbraio 2019, senza che PayPal intervenisse. Fenske ha dichiarato a ZDNet che il bug deriva dal fatto che quando si collega un conto PayPal a un account Google Pay, PayPal crei una carta virtuale, completa di un proprio numero di carta, data di scadenza e CVC. Quando un utente di Google Pay sceglie di effettuare un pagamento senza contatto utilizzando i fondi dal proprio conto PayPal, la transazione viene addebitata tramite questa carta virtuale. «Se la carta virtuale fosse destinata solo per le transazioni POS, non ci sarebbero problemi, ma PayPal consente di utilizzare tale carta anche per le transazioni online». Fenske crede che gli hacker abbiano trovato un modo per scoprire i dettagli di queste carte virtuali.

I criminali sono riusciti a venire in possesso dei dati della carta di credito e grazie a questo sono riusciti a addebitare spese non autorizzate sui conti dei malcapitati. Il problema è che per fare questo non hanno avuto bisogno del codice CVC!

Il ricercatore ha affermato che potrebbero esserci tre modi in cui un utente malintenzionato può ottenere i dettagli di una carta virtuale. In primo luogo, leggendo i dettagli della carta dal telefono / schermo di un utente tramite shoulder surfing o simili; in secondo luogo, utilizzando malware per infettare il dispositivo di un utente. Terzo, indovinandolo a caso. «Potrebbe essere possibile che l’attaccante abbia semplicemente forzato il numero della carta e la data di validità, che è nell’arco di circa un anno dalla creazione», ha detto Fenske. «Questo crea uno spazio di ricerca piuttosto ristretto per i malintenzionati». «Il CVC non ha importanza», ha aggiunto. «Ne va bene uno qualsiasi».

Il team di sicurezza di PayPal ha avviato un’indagine interna sulle transazioni non autorizzate nonappena ZDNet l’ha allertata della vunlerabilità. Lo staff sta esaminando diversi possibili scenari, tra cui quelli descritti da Fenske e la sua segnalazione di bug del febbraio 2019.

Tweet