Visiblement, relier son compte PayPal avec Google Pay n’est pas toujours une bonne idée. Alors que la fonctionnalité est disponible depuis 2018, il semblerait qu’elle ne soit pas très sécurisée. Comme le relève 01net, plusieurs personnes vivant en Allemagne ont remarqué des transactions suspectes dans leurs relevés bancaires. Allant de quelques dizaines de centimes à plusieurs centaines d’euros, ces achats effectués grâce à PayPal ont été réalisés majoritairement dans des magasins Target, aux États-Unis.
Une fraude permise par la carte bancaire virtuelle générée par Google Pay
Des personnes malintentionnées ont visiblement profité d’une faille dans l’intégration de PayPal dans Google Pay. C’est en tout cas ce que laissent croire les faits. Durant plusieurs jours, des pirates ont effectué de multiples achats frauduleux, tous basés aux États-Unis et principalement chez Target, une enseigne de grande distribution.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les victimes quant à elles sont toutes allemandes. Sur différents forums, elles ont partagé leurs déboires et ont indiqué que les pirates avaient commencé par effectuer de petites transactions de quelques centimes seulement, puis qu’ils n’avaient pas hésité, ensuite, à faire des achats plus importants, dépensant parfois plusieurs centaines d’euros. Certains auraient même dépassé le millier d’euros.
Sur Twitter, le chercheur en sécurité surnommé Iblue indique qu’il pense que ces fraudes sont liées à une faille qu’il a signalé à PayPal… il y a un an déjà. Il n’a, depuis, jamais eu de nouvelles de la part du principal concerné.
Reported a critical issue to PayPal ONE YEAR AGO.
« Not an issue. Please self-close ». Lots of discussion. Finally got a bounty. Asked several times if its fixed. No response. Gave up.
Found that it’s actively exploited by now. Sorry PP, you suck.https://t.co/48IVszRqlb
— iblue (@iblueconnection) February 24, 2020
PayPal a remboursé les victimes immédiatement
Abusées de plusieurs centaines d’euros, les victimes ont rapidement contacté PayPal qui les a toutes remboursées intégralement. Il reste maintenant à comprendre comment ces cartes ont pu être utilisées sans que les pirates n’aient eu à entrer ni numéro de sécurité, ni date d’expiration.
Si ces informations peuvent être contournées grâce au sans contact, il reste à déterminer comment les pirates ont pu obtenir les données des victimes. D’autant plus qu’il semble anormal que les pirates aient pu effectuer autant de transactions via Google Pay et PayPal, sans encombre.
