12:05
27/12/2016

Otrzymaliśmy wczoraj kilka zgłoszeń od naszych czytelników, którzy próbując płacić przez PayPal, logowani byli na cudze konta. Jednemu z czytelników przez przypadek udało się nawet wykonać zakup produktu cudzym kontem.

Jeden z naszych czytelników, próbując płacić ze swojego konta, nagle stał się Scottem,

…a po wylogowaniu się i ponownej próbie, dalej nie był sobą, a Markiem z Holandii:

Na podstawie powyższego wyciągamy wniosek, że wczoraj w PayPalu doszło do awarii, której skutkiem było “mieszanie sesji”, czyli logowanie użytkowników na nie ich konta. To oznacza, że równie dobrze ktoś mógł zapłacić z Waszego konta — dlatego zamiast czekać aż PayPal sam wykryje błędne transakcje, na wszelki wypadek sprawdźcie historię zakupów na swoich kontach (i wyciągi z podpiętych do PayPala kart płatniczych). W razie problemów, zgłoście reklamacje lub cofnijcie transakcję, albo skorzystajcie z procedury CHARGEBACK w swoim banku.

PS. Mieszanie się sesji, które może być spowodowane zarówno kolizją klucza sesyjnego jak i błędem na loadbalancerach, czy po prostu błędem programistycznym, występowało ostatnio w serwisach T-Mobile, GoldenLine i Allegro.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

25 komentarzy

Dodaj komentarz
  1. Na moje oko mechanizm “zapamiętywania” konta PayPal zawiódł. Ludzie korzystający z publicznych VPN logowali się do PayPala, a następnie kolejne osoby, które otrzymały ten sam adres IP dostawały również dostęp do konta osoby, która logowała się do PayPal.

    • Jak można być tak tępym, żeby logować się będąc na vpn’ie?

    • A kto normalny loguje się gdziekolwiek przez vpn?

    • A jak ma się logować korzystając z publicznego wifi jak nie przez vpn?

    • możecie rozwinąć ten temat? do tej pory zawsze korzystałem z VPN przy podłączeniu do ogólnodostępnych/niezaufanych sieci. Wiem, że VPN nie daje 100 % bezpieczeństwa ale żyłem w przeświadczeniu, że znacznie je poprawia i dlatego często z niego korzystałem (mam abonament w PIA). z góry dzięki za sensowną odpowiedź.

  2. Jeżeli to problem z mieszaniem sesji i nie został od załatany to lepiej będzie jednak chyba nie logować się tak od razu na swoje konto ;)

  3. Nie ma to jak trzymać na PayPalu grosz do obliczania konwersji walut, a doładowywać tylko w razie potrzeby.

    A co z dwuskładnikowym uwierzytelnianiem? Pomogło by tu coś? Czy to tylko na logowanie, a nie na przelewy jest?

    • Też mnie to zastanowiło po przeczytaniu newsa. Czyli co? Nawet mając weryfikację na podstawie smsa od Paypala i tak by mnie zalogowało jako John Doe?
      Na szczęście u mnie nic złego się nie dzieje. Konto doładowywuję tylko gdy coś kupuję a podpięte karty i tak są puste (walutowe ale nie kredytowe) – więc nici z zakupów ;)

  4. Chyba pierwszy raz w zyciu pomyslalem sobie “Dobrze ze konto w banku puste”… Z pustego to nawet Salomon nie zapi….li ;)…

    • A kredyt? ;)

    • No chyba, że używasz kart. To wtedy się możesz zdziwić ;) Nawet puste konto ci nie pomoże :)

    • Mam tylko karty debetowe + zastrzeżenie “do wysokości salda” i wystarczy na takiego hakiera :)

    • Piotrze – jak uda sie Hakierowi wziac kredyt na moim koncie to nasci Jagus na zdrowie ;)… Zablokowany. Karty debetowe. Nie da sie zjechac ponizej 0.00.

  5. A możesz wytłumaczyć czemu nie logować się nigdzie przez VPN? Wydaje mi się że jestem normalny, ale tym mnie zaskoczyłeś bo używam VPN praktycznie bez przerwy od kilku miesięcy.

  6. Jak w takich instytucjach jak PayPal czy Allegro mogą występować takie błedy?..

    • Najslabszym ogniwem jak zawsze jest czlowiek. Przetestowal za slabo albo nie przetestowal wcale bo byl pod cisnieniem… S#!t happens…

    • Często…

  7. bigdata…. :D Chmura….

    Problem w tym że jak nie wypracujemy sposobu na mniej dziurawe rozwiązania to w końcu pozostanie nam wrócić do skarpetek i telefonów na korbkę.

    Obecnej “chmurze” nikt przy zdrowych zmysłach by nie zaufał patrząc na jej jakość…
    A ufa jej większość okablowanego świata :D

  8. To występowało również na Gmailu – o czym informowałem niebezpiecznika, ale niebezpiecznik delikatnie mówiac, olał mnie… ;)

    • Poważnie? Ted napisz szczegóły sprawy…bardzo interesujące. Dziwne, że Niebezpeicznik.pl Cię olał ..pewnie miałeś nie sprawdzone informacje (podejżewam)

  9. Dlatego ja mam pod PayPal podpiętą tyko kartę do transakcji intenetowych i jak coś kupuję, to tyko przelewam potrzebną sumę i szlus.

  10. Jak można być tak tępym, żeby swoje newralgiczne dane wysyłać w Internet nie korzystając z VPN? xD

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: