Как стать автором
Обновить

Безалаберность пользователей PayPal позволяющая украсть их аккаунт и деньги [Исправлено]

Время на прочтение 7 мин
Количество просмотров 27K
Всего голосов 31: ↑29 и ↓2 +27
Комментарии 51

Комментарии 51

Почему вы не попробовали сделать репорт через платформу hackerone? У пэйпала открыта возможность присылать security issue. И если есть четкие примеры и эксплуатация — проблему не только устраняют но и выплачивают вознаграждение :)
НЛО прилетело и опубликовало эту надпись здесь
Вообще, хранить свои деньги, непонятно у кого, банки это или пейпалы, это надо быть не особо умным животным.

А где их хранить? под матрасом?
А пользоваться ими в интернетах как тогда?
НЛО прилетело и опубликовало эту надпись здесь
Для интернетов заведите отдельную карту с 0 балансом.

Ничем не отличается от «заведите PayPal/ЯД/Qiwi/whatever».

Хранить в письменном виде с печатями и подписями в виде сберкнижки.

Это как-то обезопасит от других рисков банковского обслуживания? А чтобы перевести на помянутую «отдельную карту» — каждый раз бежать в отделение Сбера?
А с банками, которые не поддерживают сберкнижки — дел вообще не иметь?

Вопрос — нафиг так жить?
НЛО прилетело и опубликовало эту надпись здесь
Дело в том, что я примерно лет так 20 уже так живу. И никуда не бегал.
Вопрос — нафиг так жить?

«Ты чё, я сопротивляюсь большому брату, пёс» (с)
Вкладчики Сбербанка СССР смотрят на печати и подписи в своих сберкнижках с определённым скепсисом.
И на свои купюры и монеты, которые превратились в фантики и металл.
Да, в экономической реальности РФ рассчитывать на такую эфемерную сущность, как сберкнижка с подписями и печатями, поразительно недальновидно. Ладно б был совет в золото\валюты вложить и дома держать либо в банковской ячейке, это хоть на что-то рассчитывать позволяет.
Хранить в письменном виде с печатями и подписями в виде сберкнижки.

И пусть их жрёт инфляция. Выгодно, вот только не вам, а банку, который крутит ваши деньги, а с вами не делится. Накопления должны приносить доход, преумножать себя.
Хранить — в криптовалюте на локальном кошельке. Неудобство только в том, как платить (увы, пока далеко не каждый сервис принимает те же биткоины). Как средство платежа — это пока действительно неудобства.

Для тех, кто боится колебаний курса, есть стейбкоины (USDT и так далее, они привязаны к доллару 1:1). Вся установка — это установка программы для хранения и выбор биржи/обменника для операций ввода-вывода на ту же карту Сбера, например.

Деньги где-то, не у тебя в руках, это всего лишь запись на счете, не более. У криптовалют хватает своих недостатков, но как минимум, есть одно преимущество, превышающее все минусы — деньги у тебя в руках и их не смогут заблокировать только потому, что у оператора службы поддержки сегодня плохое настроение (привет, вебмани, надеюсь, вы уже умерли естественной смертью?)

Как человек, у которого гребанный paypal (и не менее идиотская webmoney) блокировала кошельки, я согласен с человеком выше. Деньги я, конечно, не потерял, все восстановил, деньги ведь были мои и честные-легальные, но вот сколько нервов и сил было потрачено зря… недели и месяцы, но с тех пор paypal'ом не пользуюсь.
Хранить — в криптовалюте на локальном кошельке. Неудобство только в том, как платить

Не только. Еще неудобно хранить:
1. Либо дамп кошелька целиком (wallet.dat)
2. Либо кодовая фраза на бумажечке которую тоже надо как-то секурить.
3. Либо закрытые ключи ECDSA непосредственно от адресов накопления, которые тоже где-то и как-то секурить.

И во всем этом одна серьезная точка отказа — человеческая память: забыл пароль расшифровки, или код от сейфа с бумажечкой — всё, лишился.
Проблемы есть. Как показывает моя заминусованная карма, проблема — прежде всего, наше общество, которое к крипте еще не готово ;) И это на хабре, тематическом ресурсе, где по логике, к таким новшествам должны относиться с позитивом. Но, видимо, аудитория хабра сейчас состоит больше из IT-менеджеров, чем из технарей :)

Все остальное — это не аргументы. Ведь забыть можно все, что угодно. И кредитную карту потерять. И кошелек в трамвае забыть. И пароль от входа в клиент-банк забыть. Это ведь общие человеческие проблемы, при чем здесь крипта. Если за собой замечаются такие вещи, значит пароли нужно ставить проще или записывать куда-то. Или жене бумажечку с паролем и флешку с криптой отдать на хранение :)

Ну ничего, парочку законов ФЗ-115, несколько раз залочит PayPal (как меня). И сразу захочется пользоваться криптой. Уже не лень и появляется желание (проверенно на себе).

Даже под этой статьей ниже человек жалуется на блокировку и «потерю» денег в РР.
Видите ли, если я потеряю банковскую карточку — я звоню в коллцентр, или бегу в отделение — там блокируют старую. И выдают новую.
Это аутсорсинг ответственности.
Вот пока в крипте такого не будет — она будет менее популярна у масс.
Ну не хотят люди нести ответственность за свое бабло.
Конечно, я не готов к крипте. Мне надо в Пятерочке еды купить, куда я эту крипту буду совать? Крипта у меня, конечно, есть, но в повседневной жизни расплачиваться ей мне негде.

ФЗ-115
Для этого надо хотя бы полмиллиона иметь. У массы россиян даже таких денег нет. Зарплата (абсолютно белая без всяких «схем») 20 тысяч в месяц (да, тут у нас за МКАДом тоже есть жизнь, хотя, какая это нафиг жизнь), банк прекрасно видит, что это зарплата, какой тут ФЗ-115… никому мы с такими суммами не интересны.
Вроде магазин ОГО для залогиненных пользователей раньше предлагал оплату битками.

Обменники комиссию берут, так что на вводе-выводе теряются деньги. Неприятно.

Комиссию берет каждая платежная система и сервис. Webmoney, Paypal, ЯД, Qiwi и т.д т.п. тоже ведь не бесплатно деньги переводят между аккаунтами и, тем более, выводят в нал.
Сервис PP выводит средства без комиссии. Сумма, которую я вижу в ЛК PP и то что приходит на карту одна и таже. Россия.
Да, верно, но РР я и не имел ввиду, у них принцип работы и задумка другие. А переводы между аккаунтами? В любом случае, каждая платежная система на операциях/действиях берет свой %, это ведь аксиома.
Поэтому «Обменники комиссию берут» — конечно же, берут. Не считаю это минусом криптовалюты.
PayPal:
1. Включить двухфакторную авторизацию в аккаунте.

А как это поможет? Вы проверяли: функция восстановления пароля не позволяет менять второй фактор?

Я в своё время включил у себя эту самую двухфакторную авторизацию, она заглючила и мне пришлось пройти очень увлекательный квест чтобы её опять отключить. Вплоть до личного посещения банка чья кредикта была привязан к paypal в качестве средства оплаты. Правда вроде бы если вы выбираете в качестве второго фактора смс, то там с этим попроще и часть проблем снимает звонок с того номера на который должны идти смсы.

Я позавчера включил — теперь не могу попасть в аккаунт, так как СМС не приходят…
НЛО прилетело и опубликовало эту надпись здесь
У меня МТС. Позавчера включил двухфакторную авторизацию по СМС. При подтверждении номера телефона СМС пришла мгновенно. Сегодня, с 4-х утра, пытаюсь зайти в аккаунт — предлагают ввести код из СМС, а СМС не приходит. Нажимал кнопку «отправить повторно» — всё равно ничего не приходит. Во время очередной попытки получить СМС получил бан на неопределённое время с предложением подождать (неизвестно сколько) и попробовать снова, либо попробовать сменить пароль. Несколько раз менял пароль, вводил код из email-сообщения, отвечал на секретные вопросы — в итоге снова просит код из СМС, а СМС так и нет. Дождался 10 утра, через робота дозвонился до оператора (в меню выбрал, что я клиент, ввёл последние 4 цифры привязанной карты, нажал 4, затем 2) — прошёл идентификацию, висел на линии 30 минут, в итоге отвязали номер телефона от аккаунта. Happy end.

Мораль: ни за что не включайте двухфакторную авторизацию по СМС в PayPal! А при возможности — вообще не пользуйтесь PayPal.

Если хочешь в онлайне чем-то платить, то PayPal вполне себе вариант и он имеет свои плюсы. И альтернатив кстати тоже не так уж и много и все они тоже имеют свои проблемы и свои минусы.

А при возможности — вообще не пользуйтесь PayPal.

Почему?
Сразу оговорюсь — я PayPal пользуюсь редко. Средства, в основном, перечисляют мне. Пару раз что-то заказывал на eBay, но в основном — платят мне.

Пару лет назад, при переводе средств на мой аккаунт в PayPal, деньги зависли где-то посередине, причём отправитель прислал подтверждение, что средства он отправил, а в аккаунте $0. Аккаунт подтверждён, сканы документов отправлял. Только после долгих мытарств со службой поддержки выяснилось, что деньги застряли в самой PayPal, но нигде это не отображалось — даже у самой поддержки.

Сейчас вот пытаюсь привязать свой банковский счёт Сбербанка (не счёт карты, а именно сберегательный счёт): ввожу БИК, номер счёта — PayPal шлёт меня нахрен, со словами: «Вы ввели неверные данные. Проверьте правильность ввода данных и повторите попытку.». Со счётом карты всё то же самое. Надо ли объяснять — какие эмоции я испытываю каждый раз, когда сталкиваюсь с подобными граблями от PayPal? Мне опять надо звонить в поддержку ради того, чтобы теперь привязать ещё и счёт? Почему нельзя сделать так, чтобы это работало без геморроя?

И с PayPal так постоянно: 2020-й год на дворе, а PayPal по-прежнему работает, как в 90-е — через одно место.
Все что вы написали касается не только PayPal, а в целом банковской системы. Такие косяки возможны в любой системе платежей или банке (и такие косяки у меня были). Это совершенно не повод не пользоваться этими системами.
Я согласен, но когда каждый шаг сопровождается звонком в техподдержку и по-другому никак не решается (даже если ждать сколько угодно времени) — это боль. Сильно сомневаюсь, что если я подожду час/день/неделю/месяц, PayPal даст мне привязать несчастный счёт и вывести свои средства, без звонка в техподдержку. В сети полно отзывов, где люди ждут месяцами СМС от PayPal, либо пытаются привязать свой счёт к аккаунту. Пошёл звонить в техподдержку…
Ну это ваш опыт. Я пользуюсь PayPal с 2011 года и звонил в службу поддержки только пару раз, для смены валюты карты (когда для этого еще требовался звонок).
Я тоже с 2011. И да — это мой опыт, весьма негативный.

После очередного звонка в техподдержку PayPal выяснилось, что счёт не привязывается к аккаунту из-за того, что ФИО в аккаунте указаны на латинице, а в банковском счёте ФИО на кириллице. Но ведь так сложно написать об этом в описании ошибки при вводе данных — нужно обязательно звонить в поддержку… видимо так же сложно, как реализовать отправку СМС на заданный номер.

Так как банк не может сменить кириллицу на латиницу в данных моего счёта, то придётся менять данные в PayPal, а это повторная отправка документов и месяц ожидания. Предыдущий счёт в другом банке был на латинице — об этом я вспомнил уже после того, как позвонил в поддержку. Самое интересное то, что PayPal не запрашивает изменения ФИО, а тупо просит копию паспорта, которую я уже отправлял. Я отправил им копию паспорта, если после этого они не пропишут ФИО на кириллице — я застрелюсь.

Потом останется только вывести средства со счёта. Очень надеюсь, что для этого мне не придётся ехать в головной офис.
И да — это мой опыт, весьма негативный.
Как я люблю говорить в таких случаях (когда единоразовый негативный опыт заставляет человека отказаться от удобного сервиса) — «если один раз не встал, что ж теперь, никогда в жизни сексом больше не заниматься?» (вполне распространённая ситуация, кстати, особенно «в первый раз», когда юноша очень волнуется)
Единоразовый негативный опыт?

Не получил деньги из-за ошибки в системе — раз.
Не смог войти в аккаунт из-за не приходящих СМС — два.
Не смог привязать счёт из-за ФИО на латинице — три.
Не смог изменить ФИО с латиницы на кириллицу — четыре.

Вы знаете, заниматься сексом — это очень здорово, но с живой женщиной, а не с PayPal и его саппортом.
Мораль: ни за что не включайте двухфакторную авторизацию по СМС в PayPal!

Двухфакторная авторизация с помощью СМС сама по себе ненадёжна и об этом уже даже NIST предупреждал. СМС достаточно легко перехватывается. Следует использовать одноразовые коды, которые генерирует мобильное приложение. PayPal, к счастью, поддерживает стандартный TOTP.
Одноразовые коды, которые генерирует мобильное приложение — это очень классно ровно до того момента, пока не потеряешь смартфон. Восстановление доступа к аккаунтам после этого займёт достаточно много времени, если сервисы вообще дают такую возможность…

Жду фразу про своевременные бэкапы всего, всегда и везде ))
И как бэкапить всякие google authenticator-ы…
Насколько я знаю — никак. Поэтому я ими не пользуюсь, так как имел уже «счастье» по восстановлению аккаунтов после потери доступа к своему смартфону. К каким-то аккаунтам мне удалось восстановить доступ, а к каким-то — нет.

Про бэкапы — это шутка была, если что. Хотя вполне возможно, что в этой шутке есть доля правды и эти данные можно как-то бэкапить. Я, если честно, в этом не разбирался.

Восстановление пароля по номеру карты без проверки дополнительных данных типа срока действия и/или контрольного кода — это, конечно, полная дичь! Как PayPal на это повёлся — не понимаю.


А можно ли узнать как они пофиксили проблему?

Мне кажется, у PayPal там должна была бы быть при таком восстановлении проверка этой карты на 1 или 1,95 usd. SERVODROIDRU, что скажете?
Я думаю восстановление по номеру карты должно быть с уведомлением на почту или телефон. Как пишут выше, если с СМС-ками наблюдается такая нездоровая ситуация, то с почтой проблем не должно возникнуть у клиентов.
Безалаберность, в принципе, позволяет украсть что угодно — и деньги с карточки, и наличку, и машину. А в некоторых случаях даже квартиру.
Какой-то не логичный интервейс у палки, может он адоптирован под другой менталитет.

Знаю про эту проблему давно, но не репортил, потому что наверняка бы отписались, что клиенты, которые выставляют свои данные в интернете, сами виноваты (только другими словами, такой опыт у меня есть с другими bug bounty программами). Вы говорите, что исправили? Подскажите, как?

После ввода номера кредитки они добавили второй «шаг» — выбор куда отправить уведомление с кодом. Либо на почту, либо на телефон. Ранее, до исправления, после ввода номера кредитки появлялись два поля, в которые вам предлагалось ввести новый пароль и его подтверждение. Вообщем-то не совсем понятна их логика, зачем тогда восстановление по номеру кредитки оставили, если все равно нужно еще указывать или почту или телефон, почему просто не убрать такой способ восстановления… PS: Я сам жду от них ответа на еще несколько моих вопросов по этой теме. Но вы должны понимать, они неделями отвечают на такие запросы. Если ответ будет интересный, опубликую его.
Т.е. у PayPal не было после ввода карты её проверки?
Нет. Я в статье описал, что после ввода всех символов банковской карты мы сразу попадали на два поля ввода нового пароля (поле 1: «Введите новый пароль», поле 2: «Подтвердите новый пароль»). И эти поля система PP показывала без каких либо промежуточных проверок, после ввода полного номера карты и нажатия на кнопочку «Далее». Причем вводя этот новый пароль на E-mail прикрепленный к аккаунту даже не падало уведомление об изменении пароля :)
Ок, спасибо. Удивительно)
Странный заголовок. Безалаберность тут не у пользователей, а у самой PayPal — номер карты не является секретной информацией вообще. Такого способа восстановления быть не должно.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации