Penjahat telah memanfaatkan bug dalam integrasi Google Pay PayPal untuk melakukan transaksi tidak sah.
Pengguna di forum PayPal, Reddit, Twitter, dan forum dukungan Rusia dan Jerman Google Pay semuanya melaporkan melihat transaksi misterius muncul di riwayat PayPal mereka yang berasal dari akun Google Pay mereka.
Menurut para korban, peretas menyalahgunakan akun Google Pay mereka untuk membeli produk menggunakan akun PayPal yang ditautkan. Sebagian besar transaksi ilegal yang terjadi sejauh ini terjadi di toko-toko di AS dengan beberapa di antaranya terjadi di toko-toko Target di New York. Saat ini, sebagian besar korban tampaknya adalah pengguna Jerman.
Berdasarkan laporan masyarakat, kerugian dari transaksi penipuan ini berkisar puluhan ribu euro bahkan ada yang mencapai lebih dari 1.000 euro.
Penjelasan yang mungkin
Peneliti keamanan Jerman Markus Fenske percaya bahwa serangkaian transaksi ilegal baru-baru ini tampaknya mirip dengan bug yang dia dan sesama peneliti keamanan Andreas Mayer laporkan ke PayPal pada Februari tahun lalu.
Menurut Fenske, bug yang dia temukan berkaitan dengan fakta bahwa saat Anda menautkan akun PayPal ke akun Google Pay, PayPal membuat kartu virtual dengan nomor kartu, tanggal kedaluwarsa, dan CVC-nya sendiri. Saat pengguna Google Pay melakukan pembayaran nirsentuh menggunakan dana dari akun PayPal mereka, transaksi ini dibebankan menggunakan kartu virtual ini.
Fenske percaya bahwa peretas telah menemukan cara untuk mengetahui detail “kartu virtual” ini dan mereka sekarang menggunakannya untuk melakukan transaksi tidak sah di toko-toko AS. Namun, teori Fenske hanya karena dia dan Mayer hanya menebak-nebak penyebab sebenarnya dari serangan ini.
Tim keamanan PayPal melakukan penyelidikan atas masalah ini dan menurut raksasa pembayaran online itu, mereka telah mengatasi masalah yang sedang dieksploitasi tetapi masih perlu memeriksa pernyataan PayPal Anda untuk menemukan kejanggalan.
Melalui ZDNet (terbuka di tab baru)