Комментарии 42
Т.к. при работе с финансами доверия больше к реальному человеку (или организации) с той стороны, чем к непонятному abc@…
А вот ограничить количество запросов за какой-либо период времени, наверно, стоило-бы по-умолчанию. И разрешать безлимит для коммерческих аккаунтов крупных контор. Хотя, технически, можно рассылку счетов за очередную абонентку растянуть на несколько часов/дней, а не пулять всё сразу по всей базе…
С другой стороны, если аккаунт с которого несколько раз в месяц проводилась только оплата, вдруг начинает массово рассылать счета — то его либо взломали, либо он сам пытается взломать, либо оба два варианта сразу. И вот тут уже должен сработать антифрод- система, которая, почему-то не среагировала на нестандартную активность.
Плюс, пишут, если вы в paypal отправляете кому-то деньги, то раскрываете свое имя.
PS: Что-то тег сарказм не нашел.
А это точно не подписи у данных почтовых ящиков?
Кстати, аналогично в сбере по номеру телефона можно узнавать чей телефон. Да, наверное и во всех других банках, но в сбере счет у многих есть.
ответил ниже, нужно начать делать перевод и перед финальным подтверждением покажут, но с фамилией я промахнулся, только первую букву можно узнать
Раньше было наоборот — фамилия и первая буква имени. Так что эта дыра "условно-закрыта" и дырой не считается.
В целлм, наверное им стоило бы разрешить придумывать псевдонимы. Обычным пользователям и так норм, но если кого-то вычисляют для темных делишек, то даже имя и первая буква фамилии могут стать "чувствительной информациейэ"
С одной стороны, имя и отчество с первой буквой фамилии позволяют убедиться в том, что перевод мы отправляем в правильное место, а с другой стороны, фамилия — это наиболее вариабельная часть идентификатора, так что идентифицировать человека не получится.
Но для мошенничества, конечно, это полезная информация. Если позвонить и обратиться по имени-отчеству, то ответивший скорее всего подумает, что звонящий на самом деле знает, кому он звонит.
Как разработчик: пилим приложение для одного достаточно мелкого банка и данный функционал — в todo (но только между клиентами).
Я бы на вашем месте завел баг и в их баунти и узнал бы официальный ответ!
Эх, на моём ящике вида имя@фамилия.цом не сработает...
Думаю, в первое время существования пейпал можно было указывать любой ящик без подтверждения, чем и пользовались данные люди. Потом лавочку прикрыли, но банить старых не стали. Вот и остались такие артефакты первой версии.
Проблема не в Пейпале, у которого банковские переводы по емэйлу не баг, но фича, а в необразованных пользователях, которым интернет дали, а как им пользоваться — не показали.
Светишь банковским емэйлом в других местах интернета, откуда могут придти любители подеанонить — ССЗБ.
И все таки это так тупо и криво "by design", когда одной личности ради безопасности нужно иметь миллион почтовых адресов.
Полагаю, это будет одной из причин ухудшения статистики по заболеваемости диссоциативным расстройством идентичности.
Например, «быть узнанным по email, когда тебе делает перевод незнакомец» и «не быть узнанным по email, когда тебе делает перевод незнакомец».
Отсутствие возможности одновременного существования взаимоисключающих вещей зачастую неприятно.
Иногда ты понимаешь, что так не бывает, иногда нет, и становится «тупо и криво».
Вообще говоря, идея о том, что безопасность не бесплатна — довольно тривиальная.
Да, ради безопасности нужно шевелиться, включать голову, чтобы рано или поздно тебя в том или ином виде не «съели».
Тут проблема в том, что сначала разрабатывалась одна система для одних целей, а потом ее стали модифицировать, чтобы она соответствовала совершенно другим требованиям. В результате такой оцифровки и возникают такие дыры.
И не только у гугла такая ситуация, у mail.ru тоже сейчас есть разные ограничения, но есть люди с ящиками из нескольких цифр.
Вот с такими данными и столкнулся автор. Кто то указывал несуществующие ящики и фио при оплате, вводил номер карты и оплачивал. Другой вопрос что пейпал сохраняет эти фейк данные без верифа для будущей регистрации.
Коротких gmail не встречал. С момента когда почта у гугла была еще в бета-версии они не давали регистрировать меньше 6 букв ящики.
Как в два клика узнать реальное имя владельца email или телефонного номера с помощью PayPal или дыра в приватности?