באג בפייפאל איפשר להאקרים לבצע רכישות בסכומים של אלפי יורו
ליקוי האבטחה החמור הוא באינטגרציה בין השירות ל-Google Pay ובזכותו ההאקרים הצליחו לבצע תשלומים לא מורשים ● פייפאל הואשמה בהתעלמות מדיווחים שהזהירו מפני פגמי אבטחה בפלטפורמת התשלומים הפופולרית שלה
באג אבטחה באינטגרציה שבין פלטפורמת הארנק הדיגיטלי ושירותי התשלומים של גוגל, Google Pay, לבין שירות התשלומים אונליין של פייפאל הניב להאקרים "יבול" מוצלח. פושעי הסייבר ניצלו את הליקוי החמור בכדי לבצע עסקאות לא מורשות, ולרכוש מוצרים ברשת בעסקאות בסכומים של אלפי יורו. לא ידוע מה השווי הכולל של המוצרים שנרכשו.
העניין השפיע על מספר גדול של משתמשי PayPal, שדיווחו על כך בפלטפורמות שונות, כולל בפורומים של פייפאל, בטוויטר, וב-Reddit. הקורבנות טוענים כי חשבונות Google Pay שלהם נוצלו לרעה על ידי האקרים, לצורך ביצוע רכישות אונליין באמצעות חשבונות ה-PayPal שלהם. ההונאה התגלתה לקורבנות רק לאחר שראו עסקאות לא מוכרות או צפויות בהיסטוריית הפייפאל שלהם. כל העסקאות שעשו ההאקרים – מקורן בחשבונות Google Pay של הקורבנות. מרבית העסקאות הבלתי מורשות בוצעו אצל קמעונאים בארה"ב, כאשר רכישות מסוימות היו ביותר מ-1,000 יורו פר-רכישה. מרבית הרכישות הגיעו מגרמניה.
חוקר האבטחה הגרמני, מרקוס פנסקה, שוחח עם פורבס ואמר כי הוא מאמין ששרשרת העסקאות הבלתי חוקיות האחרונות מגיעה מכשל הזהה לבאג שעליו דיווח לחברת פייפאל בדיוק לפני שנה ביחד עם חוקר האבטחה אנדראס מאייר. לדברי פנסקה, הבאג שגילו השניים קשור לעובדה שכאשר מקשרים חשבון PayPal לחשבון Google Pay, פייפאל מייצרת כרטיס וירטואלי עם מספר חדש משלו, תאריך תפוגה ו-CVC (קוד האבטחה שבגב הכרטיס). כאשר משתמשי Google Pay מבצעים תשלומים מרחוק באמצעות כספים מחשבונות הפייפאל שלהם, עסקאות אלו מחויבות באמצעות הכרטיס הווירטואלי הזה.
פנסקה מאמין שההאקרים גילו דרך להבין את הפרטים של הכרטיסים הווירטואליים הללו, וכעת הם משתמשים בהם בכדי לבצע עסקאות לא מורשות בחנויות אמריקניות. עם זאת, התיאוריה של פנסקה ומאייר מושתתת רק על ניחוש הגורם האמיתי לאירועים, ולא זכתה לאישור מהחברות המדוברות.
לא מקרה ראשון של כשלי אבטחה בפייפאל
יצוין כי זהו אינו המקרה הראשון בו מדווחים על בעיות אבטחה בפלטפורמת PayPal. ב-2018 חשפו חוקרי ESET סוס טרויאני חדש באנדרואיד, שהתמקד באפליקציית פייפאל הרשמית, ושהיה מסוגל לעקוף את האימות הדו-גורמי של השירות.
בשבוע שעבר דיווח אתר CyberNews כי חוקריו גילו ודיווחו על שש פגיעויות בפלטפורמת התשלומים של פייפאל. על פי CyberNews, הפגיעויות שהתגלו נעו בין ניצולים מסוכנים לעקיפת אימות דו-גורמי, לשליחת קוד זדוני באמצעות מערכת SmartChat של פייפאל.
חברת פייפאל הגיבה לפורבס ואמרה כי "אבטחת חשבונות הלקוחות היא בראש סדר העדיפויות של החברה. הצוותים שלנו התייחסו באופן פעיל למצב והפחיתו את הנושא".
החברה מסרה גם כי "אנו עובדים עם כלים מתקדמים בתחום זיהוי הונאות וניהול סיכונים, על מנת לשמור שהלקוחות שלנו כמו גם התשלומים שהם מבצעים, יהיו בטוחים. פעלנו במהירות לפתרון המקרה, שהשפיע על מספר נמוך מאוד של לקוחות פייפאל שהשתמשו ב-Google Pay בגרמניה. אף מידע אישי או פיננסי לא נחשף ובאף חשבון פייפאלl לא התאפשרה גישה לגורמים חיצוניים. בהתאם למדיניות הקבועה שלנו, PayPal תזכה כל לקוח שהושפע מהמקרה בגין עסקה בלתי מורשית.
גוגל מצידה ברכה על הפעולה של פייפאל, והדובר שלה אמר ש-"אנו מבינים את התסכול של המשתמשים שלנו כאשר כל סוג של פעילות הונאה מתרחש בחשבונות שלהם. אנו שמחים ש-PayPal נקטה פעולה במהירות בכדי לטפל בבעיה. אבטחה תמיד הייתה מרכז הגישה שלנו ב-Google Pay. הונאת תשלומים היא אתגר מורכב, והצוות נשאר מחויב לתמוך בשותפים שלנו וכדי לוודא שהמשתמשים מוגנים".
צוות האבטחה של פייפאל, כאמור, אמנם ביצע חקירה של הנושא, ולדברי ענקית התשלומים אונליין הפגיעות אמנם "הופחתה", אך מכיוון שהדברים לא יותר מדי ברורים – עדיין כדאי לבדוק את פירוט חשבונותיכם בשירות ולהפוך זאת להרגל קבוע, למען השקט הנפשי.
בתאריך 09.11.20 קרה גם לי אותו מקרה. פרצו לי לחשבון הפייפאל, ביצעו עסקה בסך 650 יורו, פתחתי מחלוקת (הכחשת עסקה במרכז יישוב המחלוקת) דרך האתר שלהם. למחרת בדקתי והמקרה נסגר אבל לתדהמתי לא לטובתי! נרשם:" מצאנו שהעסקה לא הייתה בלתי מורשית, ולכן היא אינה מכוסה במסגרת 'הגנת הקונה' של פייפאל. אין באפשרותנו לספק החזר עבור העסקאות הרשומות". פניתי לחברת האשראי הם חסמו לי את כרטיס האשראי הסבירו שאני מוגן ושלא יחייבו את העסקה. לפחות חברות האשראי מבטחות במקרים כאלה, בניגוד לפייפאל. איבדתי לחלוטין את האמון בחברת פייפאל הסרתי את כרטיסי האשראי המקושרים לפייפאל וכנראה שאמחוק לצערי גם את החשבון בקרוב. אני לא רוצה לחשוב מה היה קורה אם הייתה לי יתרת זכות בפייפאל.