Uma equipe de pesquisadores das universidades de Massachusetts e da Pensilvânia identificou falhas graves no Apple Pay, Google Pay e PayPal. Em um estudo apresentado no 33º Usenix Security Symposium, ocorrido entre 14 e 16 de Agosto em Philadelphia, pesquisadores demonstraram como criminosos podem adicionar cartões de crédito roubados a essas carteiras e realizar compras, mesmo após o bloqueio do cartão pelo proprietário. Segundo Raja Hasnain Anwar, principal autor da pesquisa, o problema reside nas falhas nos sistemas de autenticação das carteiras digitais e dos bancos norte-americanos.
Leia também
Protocolos de blockchain explorados em roubo de wallets
Polícia japonesa cria cartões falsos para combater fraudes
Na apresentação, os pesquisadores dizem que se alguém estiver de posse de um cartão de crédito roubado, pode tentar adicionar o cartão a diversas carteiras digitais. Como cada carteira utiliza métodos de autenticação diferentes, o malfeitor escolherá aquele que exige apenas o endereço ou CEP para verificação. Após adicionar o cartão, ele pode continuar usando por meio da carteira digital, mesmo que o proprietário o cancele. O problema é que os bancos não verificam se a carteira pertence ao verdadeiro titular do cartão ao atualizar o token de autorização. Em vez disso, transferem automaticamente o token para um novo cartão emitido para substituir o perdido.
Além disso, os bancos permitem transações recorrentes, mesmo com o cartão bloqueado. Isso pode ser explorado por hackers. Um hacker também pode induzir um banco a usar métodos de autenticação menos seguros ao adicionar um cartão a uma carteira digital. Em vez da autenticação de dois fatores (SMS, e-mail ou ligação), ele pode usar apenas a data de nascimento e os últimos dígitos do social security, que muitas vezes são encontrados publicamente. Nas lojas, os caixas também não precisam verificar a identidade do titular do cartão – a verificação do dispositivo é suficiente.
Os pesquisadores relataram as vulnerabilidades encontradas às empresas em abril de 2023. O Google confirmou que está trabalhando em correções, mas outras empresas ainda não responderam.
