Usługa "szybkich doładowań" zmieniła operatora i... politykę. Bądźcie ostrożni i nie podawajcie swoich danych logowania.
PayPal to popularna usługa, z której chętnie korzystają miliony ludzi na całym świecie. Tym bardziej zaskakiwać może fakt, że jej właściciele zdecydowali się na bardzo dziwną, a wręcz wypadałoby powiedzieć: nieodpowiedzialną zmianę.
Użytkownicy Wykop.pl słusznie alarmują i ostrzegają, by na razie wstrzymać się od korzystania z funkcji szybkiego doładowania w usłudze PayPal. Dlaczego? Ponieważ dotychczasowy operator – Bluemedia – został zastąpiony przez inną firmę, mianowicie Trustly. I to jest takie straszne? Niestety okazuje się, że tak.
Otóż, do tej pory firma Bluemedia w celu „szybkiego doładowania” konta w usłudze PayPal wykorzystywała technikę pay-by-links, a więc taką, w której cała weryfikacja odbywała się na poziomie oficjalnego, bankowego API. Firma Trustly natomiast działa na innej zasadzie – prosi o podanie jej loginu i hasła wykorzystywanych do logowania się w systemie bankowości online.
Co w tym złego? Ano to, że osoby, które się na to zdecydują, dają w rzeczywistości firmie Trustly dostęp do swojego konta bankowego. Oczywiście nie sugerujemy, że może ona celowo „wyczyścić” nasze konta, niemniej jest to sytuacja niebezpieczna.
Po pierwsze Trustly, mając dostęp do naszego konta, może przejrzeć historię wykonywanych transakcji i na tej postaci stworzyć osobowy profil. Po drugie nie wiadomo jak dobrze swoje serwery (a do tego, że przechowuje na nich nasze informacje przyznaje się sama) chroni ta firma i czy w wyniku cyberataku nasze dane (i konta) nie zostaną skradzione.
A co jeśli dane zostałyby skradzione? Przecież bank powinien nas chronić, prawda? Owszem, ale jak zauważa Niebezpiecznik, bank nie musi uwzględniać reklamacji, jeżeli informacje do logowania przekazaliśmy komuś innemu sami. Jesteśmy sami sobie winni – z prawnego punktu widzenia.
Co robić, jak żyć? Na pewno nie podawać swoich danych logowania. Na razie też lepiej będzie wstrzymać się od korzystania z opcji „szybkich doładowań” na PayPalu – przynajmniej do czasu wyjaśnienia sprawy. Dziwi tylko, że na taki krok zdecydowała się firma, która nie raz zwracała uwagę na to, jak ważne jest bezpieczeństwo w sieci.
Źródło: Wykop, Niebezpiecznik
Komentarze
26Przy ataku MitM atakujący i tak przechwyci losową liczbę, algorytm szyfrujący oraz wynik (jednorazowy). Bruteforce i tak złamie.
Uwierzytelnianie dwuskładnikowe byłoby lepsze. Wygenerowana liczba przesłana poprzez SMS do wpisania, a nie po sieci.
Co do wysyłania hasła (skrótu), że to błąd, to się z tym zgadzam.
To nie ja byłem na szkoleniu i też miałem te rzeczy na studiach.
Ja się tylko przyczepiłem do stwierdzenia
shamoth
"Kiepskie to szkolenie skoro chcesz takie dane podawać bankowi, który z założenia nie poprosi Cię o nie ;)"
Bo bank mnie pyta o te rzeczy za każdym razem gdy się loguję. Jedynie gdzie podam takie hasło to przy logowaniu do banku, nie pani w okienku, nie przez telefon, ale na stronie do logowania do banku, bo te dane są właśnie tylko do tego.
Wiem, że chodziło mu o pracownika banku, a nie o stronę ;)
Tylko bank nie żadne podmioty trzecie