Cyberthreat.id – Sejumlah pengguna PayPal mengeluhkan adanya transaksi ganjil yang muncul dalam riwayat PayPalnya sejak Jumat (21 Februari 2020).

Keluhan itu dilaporkan sejumlah pengguna di berbagai platform, seperti forum PayPal, Reddit, Twitter, dan forum dukungan Google Pay Rusia dan  Jerman.

Sebagian besar korban tampaknya berasal dari Jerman. Mereka mengalami kerugian di kisaran puluhan ribu euro, bahkan beberapa transaksi melebih €1.000.

Sejumlah pengguna menduga ada peretas (hacker) yang menyalahgunakan akun Google Pay mereka untuk membeli produk menggunakan akun PayPal tertaut. “Menurut tangkapan layar dan beberapa penuturan korban, sebagian besar transaksi ilegal terjadi di toko-toko belanja AS, terutama di toko Target,” tulis ZDNet, Senin (24 Februari).

Sejauh ini, menurut ZDNet, belum jelas kerentanan atau bug seperti apa yang dieksploitasi oleh peretas. PayPal sendiri masih menyelidiki masalah ini.

Terpisah, di Twitter-nya, seorang peneliti keamanan Jerman, Markus Fenske, mengklaim memiliki teori terkait dengan keanehan transaksi tersebut. Menurut Fenske, dirinya pernah menemukan bug serupa itu dan bersama rekannya, Andreas Mayer, pernah melaporkannya ke PayPal. Sayangnya, perusahaan tak menanggapi serius untuk memperbaiki.

Dihubungi ZDNet, Fenske mengatakan, pada bug yang ia temukan, dampak buruk yang terjadi adalah ketika pengguna menautkan akun PayPal ke akun Google Pay, PayPal membuat kartu virtual, lengkap dengan nomor kartu sendiri, tanggal kedaluwarsa, dan card verification code (CVC).

Ketika pengguna Google Pay memilih untuk melakukan pembayaran tanpa kontak menggunakan dana dari akun PayPal-nya, transaksi dibebankan melalui kartu virtual tersebut.

"Jika kartu virtual dikunci hanya untuk transaksi point of sale (POS), tidak akan ada masalah, tetapi PayPal memungkinkan kartu virtual ini digunakan untuk transaksi online," kata Fenske.

Fenske meyakini peretas menemukan cara untuk menemukan rincian kartu virtual itu dan menggunakan informasi rincian kartu itu untuk transaksi online ilegal.

Ia menduga ada tiga cara penyerang bisa mendapatkan rincian kartu virtual. Pertama, dengan membaca detail kartu dari ponsel / layar pengguna. Kedua, secara pemrograman, dengan menggunakan malware yang menginfeksi perangkat pengguna. Ketiga, dengan menebaknya.

Tim keamanan PayPal sedang menyelidiki atas transaksi ilegal tersebut, termasuk skenario serangan yang dijelaskan oleh Fenske dan laporan bug-nya pada Februari 2019

"Keamanan akun pelanggan adalah prioritas utama bagi perusahaan," kata juru bicara PayPal kepada ZDNet. "Kami sedang meninjau dan menilai informasi ini dan akan mengambil tindakan yang sesuai yang dianggap perlu untuk lebih melindungi pelanggan kami."[]