近期，有网站通过冒充 PayPal 官网，向不知情的用户传播 Nemty 勒索软件的新变种。

...

北京时间 2 月 8 日凌晨消息，本周三，美国司法部宣布其破获了一起史上最大规模之一的全球性网络犯罪案件，称该起案件涉案人员达到 36 人，造成至少 5.3 亿美元损失。

...

据外媒报道，全球贸易支付公司 PayPal 于 12 月 1 日证实，公司旗下的 TIO Networks 运营系统存在安全漏洞，黑客已经访问了存储在其服务器中逾 160 万客户的敏感数据，包括用户可识别信息（PII）和部分财务细节。

TIO Networks 是一家基于云支付处理和收账款管理的加拿大提供商，于 2017 年 2 月被 PayPal 以 2.33 亿美元收购，其公司在北美地区经营着超过 60,000 个公共事业的票据支付系统。

TIO Networks 负责人表示：“我们对于此次事件的发生深表歉意，目前 PayPal 已暂停 TIO Networks 运营系统并与其相关部门合作，以便保障用户信息安全。另外，因为 TIO 系统完全独立于 PayPal 网络，所以 PayPal 平台并未受到任何影响。现我们正积极展开调查，一旦发现更多细节后我们将直接联系 TIO 客户并在官网 www.tio.com 发布最新进程。

...

据外媒 7 月 23 日报道，安全专家 Vikas Anil Sharma 发现 PayPal 服务器存在文件上传漏洞，允许攻击者远程执行恶意代码。以下是 Vikas 验证漏洞过程：

...

过去一年，Let's Encrypt CA 被发现向含有 PayPal 一词的域名或证书标识签发了 15,270 个 SSL 证书，其中 14,766 (96.7%)个证书是签发给了托管在钓鱼网站上的域名。

...

Adobe 公司软件工程师 Antonio Sanso 发现在线支付工具贝宝（PayPal）存在严重安全漏洞，允许黑客窃取第三方开发者开发的应用程序在支付时使用的 OAuth 凭证。

研究员称其他使用此类安全认证标准的网站上也存在此类问题，包括 Facebook 和 Google 。

漏洞归结于 PayPal 如何处理返回的应用程序授权认证令牌即 REDIRECT_URI 参数。

开发人员可通过特定 dashboard 注册应用使用 PayPal 支付服务，之后应用可生成令牌请求并发送到中央授权服务器，服务器会制定返回参数 REDIRECT_URI

...

据外媒报道，英国安全研究员 Henry Hoggard 发现了一种绕过 PayPal 双重身份验证（ 2FA ）机制的简单方法，允许攻击者在不到一分钟内接管 PayPal 帐户。研究者是在没有电话信号的酒店中，手机无法接收2FA验证码短信的情景下发现了这种方法。在这种情境下，用户可通过点击“尝试其他方式”链接，回答预设安全问题登录。攻击者可以运行代理服务器拦截并保存 PayPal 服务器请求，攻击者只需从 HTTP 请求中删除“ securityQuestion0 ”和“ securityQuestion1 ”参数，即可完成数据篡改并欺骗 PayPal 授予登录账号。 Hoggard 在 10 月 3 日向 PayPal 报告了这个问题，10 月 21 日 PayPal 修复该身份验证漏洞。

...