صفحات هک پی پال "کثیف" IT متولد می شود

می خواهم دوباره داستانی را درباره حساب های غیرقانونی PayPal کاربران آلمانی بیان کنم. هرچه جزئیات بیشتر و بیشتری در مورد این موضوع آشکار می شود.

نقد و بررسی: بحث های PayPal / Google Pay

چند روز پیش مشخص شد كه كاربران آلمانی PayPal قربانی اتهامات غیرمجاز به منظور سفارشات ساختگی از طریق Google Pay بودند ، كه زیر صفحه نمایش انجمن پرداخت Google از زیر یكی از افراد این موضوع را بررسی می کند و برخی از این درخواست های پرداخت گناهکار را لیست می کند.

(پی پال: هزینه های غیر مجاز TARGET ، تالار گفتگوی Google Pay)

من گزارش دادم که در یک پست وبلاگ تقلب کردم: Google غیرمجاز پرداخت در PayPal. بعداً من بیانیه ای از پی پال دریافت کردم که فقط تعداد کمی از افراد را تحت تأثیر قرار داده و مبلغ آن را باز می گرداند. این در پست وبلاگ پیام های مربوط به هزینه های غیر مجاز PayPal / Google Pay مورد بحث قرار گرفت. بنابراین همه چیز در کره است؟ نه ، زیرا پی پال به علت سوءاستفاده پرداخته نشده است – و در پایان مقاله پیوندهایی به مقالاتی در وبلاگ وجود دارد که مربوط به هک شدن های بیشتر به پی پال و باز کردن حفره های امنیتی از 2 هفته گذشته است.

پرونده از تابستان گذشته

از طریق اطلاع رسانی من از طریق توییتر با شخصی از فرانسه تماس گرفتم. این به من درباره مورد مشابهی که قبلاً در تابستان سال 2019 رخ داده بود گفت. در اینجا نسخه کوتاه آمده است:

• یک کاربر فرانسوی PayPal قبلاً در ژوئن سال 2019 قربانی این کلاهبرداری بود. بیش از 1000 یورو از حساب پی پال وی سرقت شد. قربانی هرگز نامه ای را برای تأیید معامله دریافت نکرد.
• کاربر قادر به پیکربندی احراز هویت دو عاملی نبود: دو شماره تلفن همراه که قبلاً تهیه شده اند هرگز کد امنیتی لازم را دریافت نکرده اند.
• در روزی که متوجه کلاهبرداری شد ، قربانی می تواند با پشتیبانی پی پال تماس بگیرد. این اختلاف در صبح باز شد اما در اواخر بعد از ظهر بسته شد. بازپرداخت رد شد زیرا گفته می شود معامله توسط دارنده حساب انجام شده است. پی پال به تلاشهای تماس از طریق توییتر و فیس بوک پاسخ نداد.
• قربانی بلافاصله مجوز بدهی مستقیم پی پال را برای حساب های بانکی خود لغو کرد. علاوه بر این ، بدهی مستقیم با رزرو از طریق بانک بازگردانده شد. این کار در مدت 30 روز امکان پذیر است.
• سپس پی پال یک "کمپین آزار و اذیت" را از طریق تلفن و ایمیل راه اندازی کرد تا انصراف داد. سرانجام برای جمع آوری مبلغ یک آژانس جمع آوری بدهی استخدام شد و روند دادرسی قانونی را تهدید کرد.
• قربانی حتی موفق شد گیرنده پول سرقت شده را پیدا کند. عکس هایی از تمام این اطلاعات ساخته شده است (صفحه پی پال ، پرداخت و غیره).

یک منبع فرانسوی برای من نوشت که پی پال را فقط می توان در انگلیس (نه در لوکزامبورگ) شکایت کرد. بعد از Brexit ، شرایط حمایت از حمایت قربانیان توسط انجمن ها تغییر یافت. در فرانسه ، تمام موسسات مربوط به کلاهبرداری سایبری که قربانی با آنها تماس گرفته بودند ، قادر به پاسخگویی یا یافتن راه حل هایی برای مشکلات از این نوع که حتی نمی دانستند بودند. به طور خلاصه ، این منبع می گوید PayPal در دسترس نیست. البته ، من نمی توانم اظهارات را بررسی کنم ، آنها برای من تعیین کننده هستند.

نکته ضعف احتمالی

سؤال باقی مانده است که چرا ممکن است اتهامات غیرمجاز رخ دهد. قبلاً در اولین مقالاتی متوجه توئیت زیر شدم.

فکر می کنم اکنون می توانیم آن را فاش کنیم.

مشکل: پی پال اجازه می دهد تا پرداخت های بدون تماس را از طریق Google Pay انجام دهید. اگر آن را تنظیم کنید ، در صورت روشن بودن دستگاه تلفن همراه ، می توانید اطلاعات کارت اعتباری مجازی را از تلفن همراه خود بخوانید. نویسنده ای نیست

– iblue (iblueconnection) 24 فوریه 2020

محقق امنیتی ماركوس فنسك پس از مشخص شدن پرونده های رزرو ، با گلم تماس گرفت و با وی تماس گرفت. فنسکه مشکوک است که قبلاً اتهامات غیرطبیعی در فوریه 2019 شناسایی شده و به پی پال گزارش شده است.

هیز مقاله ای را با جزئیات در اینجا منتشر کرد – جزئیات را می توان در اینجا در گلم یافت. بنابراین می توانم خود را از بازنویسی در اینجا نجات دهم. در این میان ، Fenske به پاسخ گویی – حتی اگر پی پال می نویسد که پاسخ داده است ، آسیب پذیری کشف شده توسط Fenske در کارت های اعتباری مجازی باز است. در این مقاله ، هایز می نویسد که این شکاف حتی بزرگتر از ترس و استفاده راحت تر از حد انتظار است.

سلام PayPal به اصطلاح دهه 90. آنها می خواهند امنیت خود را بازیابی کنند.

1. 7 رقم تصادفی تولید کنید
2. کارت اعتباری جدید شما: 5356 8001 XXXX XXXY ، که در آن X از 1 است ، Y رقم چک است.
3. تاریخ انقضا ، CVC ، دارنده کارت تأیید نشده است. 1 کارت از 100 پوند به یک عدد PP تصادفی اختصاص می یابد

– iblue (iblueconnection) 26 فوریه 2020

نکته این است که شناسه های مورد استفاده برای کارتهای اعتباری مجازی از یک عدد تصادفی 7 رقمی تشکیل شده اند جایی که از این شماره برای بررسی استفاده می شود این 6 رقمی را در اختیار شما قرار می دهد که هکرها می توانند محاسبه و امتحان کنند. پی پال تأیید و امنیت کافی را انجام نمی دهد.

فریب خورده به عنوان پاداش خطایی

در یک پست وبلاگ ، پی پال الزامات امنیتی خود را برآورده نمی کند؟ من شکاف های غیرقابل حل درمورد پروسه ارسال شده توسط سایر محققان امنیتی را گزارش داده ام. این گزارش ها رد شدند و از جایزه رد شد.

BTW: https://t.co/5zjJxrIsKZociation19659006rouletteSameproblemولو19659006 مشکلات چرا در صورت پرداخت پاداش و رفع خطا ، برنامه پاداش خطا را اجرا می کنید؟

– iblue (@ iblueconnection) 24 فوریه 2020

در صدای جیر جیر فوق ، iblue به این موضوع پرداخته و می پرسد که اگر شما چیزی شبیه به این را پیاده نکنید ، PayPal در جوایز خطا شرکت می کند. اشتباهات زیادی با پی پال وجود دارد. با توجه به این موضوع ، خبرهایی مانند موفقیت برنامه HackerOne Bug Bounty قبلاً سلیقه خود را دارد. سپس با گزارش Golem مطابقت دارد ، که از اعتراض به اخراج گسترده در PayPal آلمان اطلاع می دهد.

مقالات مرتبط:
کلاهبرداری: Google Pay بدهی های مستقیم با PayPal
پیام های مربوط به بدهی های غیر مجاز PayPal / Google Pay
آیا PayPal الزامات امنیتی را برآورده نمی کند؟ آسیب پذیری ها برطرف نشدند
خبرنامه ناخواسته اسپم و هک شدن در حساب های پی پال