PayPal-konti misbruges i stor stil til uautoriserede betalinger

Hackere har fundet en sårbarhed i integrationen mellem PayPal og Google Pay og udnytter den i øjeblikket til at lave uautoriserede betalinger via PayPal-konti.

Det skriver ZDNet.com.

Det lader til, at hackerne misbruger ofrenes Google Pay-konto til at købe produkter med den tilknyttede PayPal-konto. Umiddelbart ser det ud til, at de fleste af ofrene er fra Tyskland, mens størstedelen af overførsler foregår i amerikanske butikker, særligt i supermarkedskæden Target rundt omkring i New York.

Ifølge ZDNet har flere af de uautoriserede betalinger været på over 1.000 euro, og det vurderes, at der i alt er svindlet for titusindvis af euro. Det står endnu ikke klart, hvilken sårbarhed der er tale om, men PayPayl har sagt til ZDNet, at man er i gang med at undersøge det.

En tysk it-sikkerhedsekspert ved navn Markus Fenske mener dog, at han ved, hvad problemet er.

Tidligere i dag postede han på Twitter under sin profil @iblueconnection, at sikkerhedshullet ligner det, som hans virksomhed rapporterede til PayPal tilbage i februar 2019. Han siger, at trods flere forsøg på at gøre PayPal opmærksom på, at det var kritisk, så afviste virksomheden, at der var et problem.

Til ZDNet forklarer Markus Fenske, at betalinger fra en PayPal-konto ikke er forbeholdt såkaldte POS-betalinger (POS = Point of Sale), hvor der betales kontaktløst på stedet, men også tillader betalinger via Google Pay, så et virtuelt kreditkort kan bruges til at betale for varer på internettet.

»Hvis et virtuelt kreditkort var låst til POS-overførsler, så ville der ikke være noget problem, men PayPal tillader det her virtuelle kort til online-betalinger,« siger Markus Fenske til ZDNet.

I think we can disclose it by now.

Issue: PayPal allows contactless payments via Google Pay. If you have set it up, you can read the card details of a virtual credit card from the mobile, if the mobiles device is enabled. No auth.

— iblue (@iblueconnection) February 24, 2020