Comments 32
Глупая теория. А что, если PayPal просто устал от пользователей. которые постоянно забывают пароли/почты/секретные слова и решил эту проблему таким "оригинальным" способом? Ведь мобильные телефоны есть практически у всех, а если потерял номер, то в большинстве случаев его не проблема восстановить (хотя есть и исключения с сим картами предоплатами). Ну и так же можно сократить отдел который занимался вопросом восстановлением паролей.
П.С Имел опыт подработки в тех поддержки и там почти 50%, а то все 2\3 вопросов было - "Я забыл пароль от сервера, что делать?", "Я копирую пароль и он не подходит, дайте мне новый пароль!" (когда люди из писем копируют пароли с пробелом) и т.д :)
Думаю "устал" это плохое оправдание такой дыре
Разумеется.
Меня вообще жутко бесит, когда сервис заставляет тебя привязывать телефон оправдываясь это тем, что для "защиты". Но видимо многие "эффективные" менеджеры, как и в той же Америке (случай с Blizzard и Overwatch 2) не в курсе, что у многих телефоны не привязаны к паспорту, а просто "анонимные" сим карты с предоплатой. Хотя именно в случае с Blizzard они возможно были в курсе, т.к заблокировали возможность использовать такие номера :). РФ не в счёт, там, как я слышал и знаю по опыту, нет официальных анонимных сим карт.
Добавить возможность отключать этот функционал было бы решением, которое, думаю, удволетворило бы всех.
Автору бы жилось намного проще, если бы можно было сбросить пароль по смс коду, а не выполнять вход? Бесят порталы в которых через смс код можно сбросить пароль, пропустить Google Authenticator, но при этом нельзя зайти по смс коду без пароля.
По сути то же самое, что типовая и общеизвестная проблема – при наличии функции восстановления пароля двухфакторная аутентификация превращается в однофакторную.
Ну как бы перед восстановлением пароля нормальные компании предлагают ввод другого первого фактора на другом устройстве (Push на все устройства где залогинен), ответ на вопрос (тот, что пользователь придумывает сам, а не из списка «тупых вопросов»), ввод второго фактора если доступен, кто-то уже перешёл на Seamless/SIM-Push, и так далее.
Единственным средством защиты от этого является закрытие счёта на PayPal.
Ещё можно в Россию или Беларусь переехать. У нас сейчас PayPal очень хорошо защищён, ни одному злоумышленнику не удастся снять деньги с вашей карты...
Пайпал давно не работает в России. У вас точно для "белых" (а не тёмно-серых) хакеров курсы?
Или просто фигачите копипасту не думая?
Почему никто не говорит, что такое сейчас с любым российским банком творится. Раньше было масса всяких вариантов, от SSL-сертификатов (для аутентификации клиента), до специальных приборчиков, куда нужно было карту вставлять. А сейчас у всех -- только SMS. Причём у всех же есть возможность "восстановить доступ" через SMS. Раньше у некоторых для этого было нужно идти к банкомату, а теперь ничего не нужно.
И вишенкой на торте -- возможность "восстановления пин-кода" у опсосов. Не по PUK-коду, а просто по факту обращения в поддержку в чатике с зачитыванием паспортных данных потерпевшего.
Притом технологии не стоят на месте, и кредитку уже никуда не нужно вставлять для проверки.
Я недавно получил карту Capital One, при первой настройке приложения, карту нужно физически приложить к айфону, я так понимаю это работает через nfc.
Гениальная же вещь, почему это не стало стандартом еще?
Тут вопрос, для чего это прикладывание используется. Если просто для того, чтобы номер карты считать - это это то же самое. А если используется чип карты для подтверждения владения - тогда это более-менее правильно.
Правильнее было бы еще не только для 'первый раз' но и вообще для логина в приложение карту использовать. Или вообще для подтверждения любой операции. Ибо именно для этого чип в карте и стоит, делая ее аппаратным токеном.
Вообще сильно развита аналитика действий и фол мониторинг, поэтому почему бы и нет?Вангую десятки банков в ближайшие месяцы перейдут на seamless / SIM-Push либо вообще для безвольной односторонний аутентификации либо для двухфакторной.
Тем временем абсолютно все российские банки имеют вход чисто по СМС. Обычно даже ничего другого не требуется: номер + смс.
В тинькове если установлен пароль, и нажать "не помню пароль" то просит ввести номер пластиковой карты.
Только вот раньше у тебя нужно было суметь отжать карточку, потом долго бить и обещать палец отрезать. Чтоб пин-код сказал. Это одна статья, тяжёлая.
А теперь достаточно лишь подрезать сумочку в которой мабила, карточка и паспорт. Это другая статья, да и соскочить легко. Залочена ли мабила, супер-пупер-зашифрована -- всё не важно. Важно только, что симку можно вынуть, обратиться к всем четырём возможным в регионе опсосам и попросить сказать пинкод. В особо запущенных случаях и пин-кода нет (на симке).
eSIM
Ну и опсосов может быть больше четырех.
При этом у как минимум одного из банковских MVNO вполне себе можно получить eSIM полностью онлайн, находясь в регионе где они официально не работают, и все будет работать (ну да, с точки зрения звонков кого то у кого в тарифе звонки на российские номера других операторов в пакет не входят на такой номер — это попадалово на деньги). Придется с паспортом в руках селфи поделать конечно.
А еще есть всякие бизнес VoIP операторы вроде Задарма (теперь уж Novofon) или там Гравител. Номера в том числе для приема СМС — дадут. Гравител и симки FMCшные даст. Дорого правда....
Номер карты тупо подсмотреть можно.
Я не ношу с собой карту.
Дело не в этом, в исходном посте утверждалось "абсолютно все российские банки имеют вход чисто по СМС" я просто указал, что это неправда.
А я проверил еще в одном непопулярном банке, там вообще про номер телефона не спрашивают, выбор либо номер паспорта, либо номер счета при "Забыл пароль"
Скажите пожалуйста, а где в популярных сервисах по другому? Вы думаете в телеге не так? Всё ломается через смс, либо вам сразу приходит смс код от сервиса, либо надо сначала взломать вашу почту, для чего нужно опять перехватит ваше смс. Все завязано на телефон номер телефона специально.
Но на минуточку кто имеет доступ к вашему номеру? Оператор связи, а кто ещё? Хакеры могут перехватить вашу смс из любой точки мира и не обязательно стоять рядом с вами. Я думаю это сделано специально, чтобы спецслужбы, по крайней мере США, могли взломать любого человека. Непосредственно к телеге, например, т.к. ее разблочили в РФ, я думаю у ФСБ есть доступ к переписке любого пользователя, ну и опять же через оператора связи это можно получить легко. Все почему-то думают, что это дыра, типа в компаниях такие тупые безопасники работают, нет это не дыра, я думаю это неафишируемая обязанность.
У меня просто нет привязанного номера телефона к PayPal американскому. Вот и всё
Эта маленькая кнопка «Log in with a one-time code» присутствует всегда. Для всех и каждого. Она всё время находится прямо под кнопкой «Log In» (если, конечно, вы на сайте PayPal.com, а не в приложении PayPal).
Сейчас решил проверить в немецкой версии(всё ещё Paypal.com) и не могу найти такую опцию. Не там смотрю?
Возможно, кстати, обкатывают на Америке, а потом уже на всё остальные запустят.
Может и так. Но подозреваю что скорее дело в местном законодательстве. Потому что по этому самому законодательству еслибанк предлагает такие вот "не особо безопасные способы аутентификации", то он потом по дефолту отвечает за все возможные косяки. То есть если у кого-то уведут деньги, то в таком случае банк обязан всё возместить.
У меня трехфакторная аутентификация. В случае с пэйпелом, которым я впрочем, не пользуюсь, получится как раз двух.
Работает так:
1. Дома лежит малинка с lte модемом.
2. В модем воткнута отдельная симка, куда приходят СМС от банков.
3. Малинка высылает их электронной почтой.
таким образом:
1.В превью будет видно что принята смс на почту, но что там внутри никто не увидит.
2.Легко отключить, зайдя по ssh на малинку, и отключив высылку СМС. В отличие от сим карты, которую надо блокировать прийдя к ним в офис, что за границей может быть проблематично.
3.Никто кроме банков этот номер не знает, а значит некие злоумышленники, если вдруг найдут мой основной номер телефона в соцсетях, или еще где использовать его для банка/перевыпуска сим карты не смогут.
4. удобно открывать линки на компьютере, содержащиеся в смс.
Ну и да, принципиально не пользуюсь мобильными приложениями банков. Так что и пуши мне не грозят. Есть только приложения революта и миллениума, но этим банкам я и сам не доверяю, поэтому больше 200 евро в них не храню.
PayPal это контора, которая очень любит кидать багхантеров.
Я находил дыру, позволяющую получать почты и телефоны клиентом платежной системы, зарепортил это на H1. В итоге пейпал закрыл отчет как N/A и через неделю пофиксил дыру. Просто прекрасно!
Не удивлюсь, если в этом случае они поступят точно также.
PayPal позволяет обходить 2FA нажатием одной кнопки — и утверждает: «Это сделано для вашей защиты»