Google Pay et PayPal exploités pour vider les comptes
Depuis vendredi, des utilisateurs de Paypal voient leur compte être vidé par des achats via Google Pay depuis les Etats-Unis. Cette faille concernent surtout des pays où Google Pay est ouvert aux paiements sans contact via Paypal, soit l'Allemagne et les Etats-Unis.
Paypal et Google sont exploités par des pirates pour vider des comptes via des paiements en NFC. Depuis vendredi, des utilisateurs de Paypal américains et allemands ont vu de nombreux paiements apparaitre sur leur compte. Ces transactions sont passées via le compte Google Pay et chez de nombreux commerçants américains, dont la chaîne de magasin Target. Cette arnaque représenterait plusieurs dizaines de milliers d'euros et certaines transactions ont dépassé 1000 $.
La faille affecte des utilisateurs Paypal ayant connecté leur compte au service de paiement Google Pay. Si cette association est pratique pour payer ses applications et ses services en ligne, elle permet également des paiement sans contact (NFC) via des smartphones Android. En effet, aux Etats-Unis et en Allemagne, Paypal est considéré comme un moyen de paiement compatible avec les paiements sans contact sur Google Pay. Selon un chercheur en sécurité, en connectant un compte Paypal à un compte Google, le service de paiement crée une carte bancaire virtuelle qui peut être utilisé pour le paiement sans contact. Google Pay est l'une des solutions de paiement NFC sur Android, concurrente de Samsung Pay.
Paypal a lancé une enquête sur l'origine du problème. En attendant, il est recommandé de retirer la liaison entre Paypal et Google.
