據外媒ZDNet報導，近日黑客在PayPal的Google Pay集成中發現了一個漏洞，現在正使用它通過PayPal帳戶進行未經授權的交易。自上週五以來，用戶報告稱在其PayPal歷史中突然出現了源自其Google Pay帳戶的神秘交易。

受害者報告說，黑客濫用Google Pay帳戶來使用鏈接的PayPal帳戶購買產品。根據截圖和各種證詞，大多數非法交易發生在美國商店，尤其是在紐約各地的Target商店。而大多數受害者似乎是德國使用者。

根據公開報告，估計此次損失在數万歐元左右，一些未經授權的交易遠超過1000歐元。黑客正在利用哪些漏洞尚不清楚。PayPal告訴ZDNet，他們正在調查此問題。在這篇文章發表之前，谷歌發言人沒有返回置評請求。

德國安全研究員Markus Fenske週一在Twitter上表示，週末報告的非法交易似乎與他和安全研究員Andreas Mayer在2019年2月向PayPal報告的漏洞相似，但PayPal沒有優先考慮修復。

Fenske告訴ZDNet，他發現的漏洞源於以下事實：當用戶將PayPal帳戶鏈接到Google Pay帳戶時，PayPal會創建一個虛擬卡，其中包含其自己的卡號，有效期和CVC。當Google Pay用戶選擇使用其PayPal帳戶中的資金進行非接觸式付款時，交易將通過該虛擬卡進行收費。

Fenske 在接受采訪時說道：“如果僅將虛擬卡鎖定到POS交易，就不會有問題，但是PayPal允許將該虛擬卡用於在線交易。”Fenske現在認為，黑客找到了一種方法來發現這些“虛擬卡”的詳細信息，並且正在使用卡的詳細信息在美國商店進行未經授權的交易。

研究人員表示，攻擊者可以通過三種方式獲取虛擬卡的詳細信息。首先，通過從用戶的手機 /屏幕讀取卡的詳細信息。其次，通過編程方式，使用感染用戶設備的惡意軟件。第三，通過猜測。Fenske說道：“攻擊者可能只是強行將卡號和有效期強行加起來，而有效期大約在一年左右。這使得搜索空間很小。”他補充說：“ CVC無關緊要。任何人都被接受。”

PayPal工作人員正在研究不同的問題-包括Fenske最新描述的攻擊情形以及他的2019年2月漏洞報告。PayPal發言人告訴ZDNet：“客戶帳戶的安全是公司的重中之重。我們正在審查和評估此信息，並將採取任何必要的行動來進一步保護我們的客戶。”