Как в два клика узнать реальное имя владельца email или телефонного номера с помощью PayPal или дыра в приватности?

[igruh]

Извините, конечно, но, пожалуйста, не брезгуйте впредь запятыми — очень тяжело читается.

[agarus]

Запятые, отступы и абзацы для слабаков )

[Danikey]

Только ли запятые?

по доброте душевной проверил для меня на жизнеспособность принимать почту эти красивые.

Эээ… шта? Я сломал себе мозг. После этого перестал читать и полез в комментарии, проверять, кто первым напишет про безграмотность. И — bingo!

[igrblkv]

Это, скорее, не дыра, а архитектурная ошибка.
Т.к. при работе с финансами доверия больше к реальному человеку (или организации) с той стороны, чем к непонятному abc@…
А вот ограничить количество запросов за какой-либо период времени, наверно, стоило-бы по-умолчанию. И разрешать безлимит для коммерческих аккаунтов крупных контор. Хотя, технически, можно рассылку счетов за очередную абонентку растянуть на несколько часов/дней, а не пулять всё сразу по всей базе…

С другой стороны, если аккаунт с которого несколько раз в месяц проводилась только оплата, вдруг начинает массово рассылать счета — то его либо взломали, либо он сам пытается взломать, либо оба два варианта сразу. И вот тут уже должен сработать антифрод- система, которая, почему-то не среагировала на нестандартную активность.

[Sabubu]

А эти аккаунты существуют в gmail или это данные, введенные на стороне Paypal и может быть таких аккаунтов и не существует?

Плюс, пишут, если вы в paypal отправляете кому-то деньги, то раскрываете свое имя.

[xdtb]

Плюс если вам платят, то вообще тоже раскрыввеется — приходит письмо вы перевели X usd Василию Пупкину.

[stalinets]

Ещё одно подтверждение тому, что не нужно светить в интернете реальные ФИО.

[igrblkv]

Ага, и в банк лучше не со своим паспортом ходить, а то они то-же все в интернете…

PS: Что-то тег сарказм не нашел.

[Sly_tom_cat]

PayPay такое «не переваривает». Вернее пока там только ваша карта привязана — еще можно маскироваться (или то только раньше можно было). Но, привяжете свой банковский счет (для вывода средств) и ваше имя там светится — не убрать. С левым именем — счет привязать не даст уже банк.

[prs123]

А это точно не подписи у данных почтовых ящиков?

[Sly_tom_cat]

Обычно там имя из привязанного банковского аккаунта светится.
А у банкиров с именами все довольно строго…

[rinaty]

Кстати, аналогично в сбере по номеру телефона можно узнавать чей телефон. Да, наверное и во всех других банках, но в сбере счет у многих есть.

[vindy123]

перевести копеечку на телефон и получить детали в ответном смс? или какой-то еще способ есть?

[rinaty]

ответил ниже, нужно начать делать перевод и перед финальным подтверждением покажут, но с фамилией я промахнулся, только первую букву можно узнать

[x67]

Раньше было наоборот — фамилия и первая буква имени. Так что эта дыра "условно-закрыта" и дырой не считается.
В целлм, наверное им стоило бы разрешить придумывать псевдонимы. Обычным пользователям и так норм, но если кого-то вычисляют для темных делишек, то даже имя и первая буква фамилии могут стать "чувствительной информациейэ"

[ProstoUser]

В Сбере вполне логично.

С одной стороны, имя и отчество с первой буквой фамилии позволяют убедиться в том, что перевод мы отправляем в правильное место, а с другой стороны, фамилия — это наиболее вариабельная часть идентификатора, так что идентифицировать человека не получится.

Но для мошенничества, конечно, это полезная информация. Если позвонить и обратиться по имени-отчеству, то ответивший скорее всего подумает, что звонящий на самом деле знает, кому он звонит.

[Torps]

интересно. расскажите, пожалуйста

[rinaty]

Я ошибся, фамилию не узнать, только имя и отчество и первую букву фамилии. Нужно начать делать перевод клиенту по номеру телефона, далее сбер покажет имя и фамилию перед финальным подтверждением по смс.

[vikarti]

Как пользователь скажу: Тиньков для своих клиентов И Сберовских дает такое.
Как разработчик: пилим приложение для одного достаточно мелкого банка и данный функционал — в todo (но только между клиентами).

[QtRoS]

Я бы на вашем месте завел баг и в их баунти и узнал бы официальный ответ!

[Goodkat]

Эх, на моём ящике вида имя@фамилия.цом не сработает...

[chouck]

домен значения не имеет. Если этот почтовый ящик указан в вашем пейпал аккаунте, то все сработает.

[Goodkat]

Что сработает?

[chouck]

Получения вашего имени указанного в PayPal зная только номер тел или имейл из любого домена

[Goodkat]

Если кто-то знает мой привязанный к пайпалу имейл, то он знает и моё имя, так как мой имейл — это имя и фамилия.

[dmih]

Да если очень надо можно еще 1 цент послать, в выписке тоже будет настоящее имя, и вряд ли это будут фиксить. В целом раскрытие контрагентов у них в некотором смысле by design.

[TimsTims]

Думаю, в первое время существования пейпал можно было указывать любой ящик без подтверждения, чем и пользовались данные люди. Потом лавочку прикрыли, но банить старых не стали. Вот и остались такие артефакты первой версии.

[chouck]

ну емейл проверялся всегда. похоже люди и ящики реальные

[fukkit]

Проблема не в Пейпале, у которого банковские переводы по емэйлу не баг, но фича, а в необразованных пользователях, которым интернет дали, а как им пользоваться — не показали.
Светишь банковским емэйлом в других местах интернета, откуда могут придти любители подеанонить — ССЗБ.

[x67]

И все таки это так тупо и криво "by design", когда одной личности ради безопасности нужно иметь миллион почтовых адресов.
Полагаю, это будет одной из причин ухудшения статистики по заболеваемости диссоциативным расстройством идентичности.

[fukkit]

Причина в том, что до определенного уровня развития логического мышления человеку ничего не мешает хотеть прямо противоположных вещей.
Например, «быть узнанным по email, когда тебе делает перевод незнакомец» и «не быть узнанным по email, когда тебе делает перевод незнакомец».
Отсутствие возможности одновременного существования взаимоисключающих вещей зачастую неприятно.
Иногда ты понимаешь, что так не бывает, иногда нет, и становится «тупо и криво».

Вообще говоря, идея о том, что безопасность не бесплатна — довольно тривиальная.
Да, ради безопасности нужно шевелиться, включать голову, чтобы рано или поздно тебя в том или ином виде не «съели».

[x67]

оверхед на безопасность не должен быть слишком большим, иначе система, требующая этих вложений — кривая.
Тут проблема в том, что сначала разрабатывалась одна система для одних целей, а потом ее стали модифицировать, чтобы она соответствовала совершенно другим требованиям. В результате такой оцифровки и возникают такие дыры.

[segerybloeyv]

Странно. Гугл говорит, что в его почте нет имен короче шести знаков.

[chouck]

Я то так тоже думал. Ну это сейчас когда он большой и популярный, он так говорит, но оказывается есть люди у которых и один знак есть

[QDeathNick]

А ещё у гугла сейчас есть ограничение, при длине ящика >7 обязательно наличие буквы, с чем это может быть связано?
И не только у гугла такая ситуация, у mail.ru тоже сейчас есть разные ограничения, но есть люди с ящиками из нескольких цифр.

[force]

Думаю, резервируют ящики вида номер_телефона@gmail.com

[QDeathNick]

Странно, что с 8 начиная, если логин более короткий, то такого требования нет.

[ingumsky]

В своё время Гугол не дал мне создать email ivan@gmail.com, утверждая, что имя уже занято. Возможно, тогда они просто не афишировали, что имена не должны быть совсем короткими, но…

[chouck]

«Bill To ivan@gmail.com» похоже счастливчик так и не засветился в пейпале

[L3n1n]

Что бы оплатить через пейпал не всегда обязательно иметь там акк.
Вот с такими данными и столкнулся автор. Кто то указывал несуществующие ящики и фио при оплате, вводил номер карты и оплачивал. Другой вопрос что пейпал сохраняет эти фейк данные без верифа для будущей регистрации.

Коротких gmail не встречал. С момента когда почта у гугла была еще в бета-версии они не давали регистрировать меньше 6 букв ящики.

[chouck]

Не могу согласится. Верификация счёта не пройдёт без подтверждения почты а сейчас и телефона для многих регионов.