Beberapa hari yang lalu, semakin banyak keluhan dari pengguna Paypal dan Google Pay bahwa ada pendebetan tidak sah di rekening mereka. Business Insider juga melaporkan. Banyak dari mereka yang terkena dampak sudah masuk google- dan masuk Forum PayPal jumlah lebih dari beberapa ratus euro, yang semakin banyak didebit dari cabang jaringan ritel Amerika Target.

Seorang pengguna menulis bahwa uangnya dipotong tiga kali dalam satu hari saja, setiap kali dari Target:

Google, ID Pengguna 13695367785047133916

Satu Grup Facebookdisiapkan untuk pertukaran antara mereka yang terkena dampak, sekarang memiliki 153 anggota (per 27 Februari 2020, 14:22).

Pada tanggal 23 Februari, kasus pertama diterima di forum pelanggan Google dan Paypal. Atas permintaan situs berita IT Heise Paypal mengambil sikap dan menulis bahwa hanya “sejumlah kecil pelanggan PayPal yang menggunakan Google Pay” yang terpengaruh dan semua pelanggan yang terpengaruh akan mendapatkan pengembalian dana atas pembayaran tidak sah mereka.

Paypal: Semuanya baik-baik saja, itu berakhir dengan baik?

Sebenarnya kisah itu seharusnya diceritakan di sini. Namun kemudian Markus Fenske dan Andreas Mayer dari perusahaan keamanan TI Exablue GmbH angkat bicara. Mereka tidak hanya mengklaim bahwa mereka mengetahui tentang celah keamanan yang memungkinkan pendebitan dilakukan sejak Februari tahun lalu, tetapi juga bahwa mereka telah memberi tahu Paypal tentang celah keamanan tersebut.

Dan bukan itu saja: Paypal membayar mahal untuk bug yang ditemukan, namun kemudian tidak memperbaikinya dan mengabaikan kontak lebih lanjut dari pakar keamanan.

Ketika mereka mencoba lagi pada tanggal 25 Februari 2020 untuk mengirim uang tanpa otorisasi menggunakan kerentanan, bug tersebut masih belum diperbaiki.

Sementara itu melaporkan portal teknologi Caschys Blogbahwa Google telah menonaktifkan opsi untuk menyiapkan Paypal sebagai sumber pengumpulan – setidaknya untuk pengguna individu.

Kerentanan keamanan masih ada

Saat ditanya oleh Business Insider, Markus Fenske dan Andreas Mayer mengatakan bahwa PayPal belum sepenuhnya menyelesaikan masalah ini: “Kami menyelidikinya kembali beberapa jam yang lalu. Debit tertentu tidak lagi berfungsi seperti dulu, jadi sepertinya mereka sedang mengatasi masalahnya. Namun, kami masih berhasil membayar uang ke Amazon dari kartu kredit yang ditarik melalui NFC. Jika kesenjangan ini diperbaiki, hal ini tidak akan mungkin terjadi lagi.”

Sebagai buktinya, mereka mengirimkan screenshot berikut:

Paypal/Tangkapan Layar: Exablue

Dan PayPal? Atas permintaan Business Insider, mereka mengirimkan pernyataan yang menyatakan bahwa masalah tersebut telah teratasi sejak 25 Februari.

Inilah yang melatarbelakangi celah keamanan Paypal

Kelemahan keamanannya adalah sebagai berikut: Untuk menggunakan Paypal sebagai sumber pembayaran di Google Pay, Paypal membuat kartu kredit virtual. Seperti semua kartu kredit lainnya, kartu kredit ini memiliki nomor kartu kredit dan tanggal kedaluwarsa.

Karena ini adalah kartu kredit virtual, biasanya kartu ini diblokir untuk pembelian online, hanya berfungsi untuk pembayaran di titik pembayaran stasioner, dan hanya berfungsi dengan akun Google Pay tempat kartu tersebut dibuat. Menurut Fenske dan Mayer, hal ini tidak terjadi.

Sebagai langkah keamanan tambahan, pembelian online mengharuskan Anda memasukkan nama pemegang kartu dan kode CVC (kode tiga digit di belakang kartu kredit fisik). Kelemahan PayPal: Setelah Anda memiliki nomor kartu kredit dan tanggal kedaluwarsa, nama apa pun dan nomor tiga digit apa pun akan diterima sebagai kode CVC yang valid.

Mencari tahu nomor kartu kredit menjadi lebih mudah bagi penerima manfaat dari lubang keamanan karena delapan digit pertama dari 16 digitnya sama. Selain itu, angka terakhir dapat dihitung dari tujuh angka sebelumnya. Artinya pencuri hanya perlu mengetahui tujuh digit dan tanggal kedaluwarsa yang sesuai.

Menurut Fenske dan Mayer, hal inilah yang terjadi pada kasus terbaru. Bukan karena pencuri meretas masing-masing pengguna Paypal, tetapi karena mereka hanya mencoba kombinasi angka sembarangan hingga membuahkan hasil yang diinginkan.