27/12/2016
Otrzymaliśmy wczoraj kilka zgłoszeń od naszych czytelników, którzy próbując płacić przez PayPal, logowani byli na cudze konta. Jednemu z czytelników przez przypadek udało się nawet wykonać zakup produktu cudzym kontem.
Jeden z naszych czytelników, próbując płacić ze swojego konta, nagle stał się Scottem,
…a po wylogowaniu się i ponownej próbie, dalej nie był sobą, a Markiem z Holandii:
Na podstawie powyższego wyciągamy wniosek, że wczoraj w PayPalu doszło do awarii, której skutkiem było “mieszanie sesji”, czyli logowanie użytkowników na nie ich konta. To oznacza, że równie dobrze ktoś mógł zapłacić z Waszego konta — dlatego zamiast czekać aż PayPal sam wykryje błędne transakcje, na wszelki wypadek sprawdźcie historię zakupów na swoich kontach (i wyciągi z podpiętych do PayPala kart płatniczych). W razie problemów, zgłoście reklamacje lub cofnijcie transakcję, albo skorzystajcie z procedury CHARGEBACK w swoim banku.
PS. Mieszanie się sesji, które może być spowodowane zarówno kolizją klucza sesyjnego jak i błędem na loadbalancerach, czy po prostu błędem programistycznym, występowało ostatnio w serwisach T-Mobile, GoldenLine i Allegro.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Na moje oko mechanizm “zapamiętywania” konta PayPal zawiódł. Ludzie korzystający z publicznych VPN logowali się do PayPala, a następnie kolejne osoby, które otrzymały ten sam adres IP dostawały również dostęp do konta osoby, która logowała się do PayPal.
Jak można być tak tępym, żeby logować się będąc na vpn’ie?
A kto normalny loguje się gdziekolwiek przez vpn?
A jak ma się logować korzystając z publicznego wifi jak nie przez vpn?
możecie rozwinąć ten temat? do tej pory zawsze korzystałem z VPN przy podłączeniu do ogólnodostępnych/niezaufanych sieci. Wiem, że VPN nie daje 100 % bezpieczeństwa ale żyłem w przeświadczeniu, że znacznie je poprawia i dlatego często z niego korzystałem (mam abonament w PIA). z góry dzięki za sensowną odpowiedź.
Jeżeli to problem z mieszaniem sesji i nie został od załatany to lepiej będzie jednak chyba nie logować się tak od razu na swoje konto ;)
Nie ma to jak trzymać na PayPalu grosz do obliczania konwersji walut, a doładowywać tylko w razie potrzeby.
A co z dwuskładnikowym uwierzytelnianiem? Pomogło by tu coś? Czy to tylko na logowanie, a nie na przelewy jest?
Też mnie to zastanowiło po przeczytaniu newsa. Czyli co? Nawet mając weryfikację na podstawie smsa od Paypala i tak by mnie zalogowało jako John Doe?
Na szczęście u mnie nic złego się nie dzieje. Konto doładowywuję tylko gdy coś kupuję a podpięte karty i tak są puste (walutowe ale nie kredytowe) – więc nici z zakupów ;)
Chyba pierwszy raz w zyciu pomyslalem sobie “Dobrze ze konto w banku puste”… Z pustego to nawet Salomon nie zapi….li ;)…
A kredyt? ;)
No chyba, że używasz kart. To wtedy się możesz zdziwić ;) Nawet puste konto ci nie pomoże :)
Mam tylko karty debetowe + zastrzeżenie “do wysokości salda” i wystarczy na takiego hakiera :)
Piotrze – jak uda sie Hakierowi wziac kredyt na moim koncie to nasci Jagus na zdrowie ;)… Zablokowany. Karty debetowe. Nie da sie zjechac ponizej 0.00.
A możesz wytłumaczyć czemu nie logować się nigdzie przez VPN? Wydaje mi się że jestem normalny, ale tym mnie zaskoczyłeś bo używam VPN praktycznie bez przerwy od kilku miesięcy.
XD. Chyba nie do konca znasz ideę vpnu.
Najwyraźniej nie tylko on – Niebezpiecznik poleca korzystanie z VPN cały czas odkąd weszła ustawa o inwigilacji https://niebezpiecznik.pl/post/ustawa-inwigilacyjna-jak-sie-bronic-przed-podgladaniem-przez-policje-i-sluzby/
Także Marku i yagoodtp zdemaskujcie niebezpieczne zalecenia Niebezpiecznika! :)
Polecacie jakiś polski serwis VPN?
Jak w takich instytucjach jak PayPal czy Allegro mogą występować takie błedy?..
Najslabszym ogniwem jak zawsze jest czlowiek. Przetestowal za slabo albo nie przetestowal wcale bo byl pod cisnieniem… S#!t happens…
Często…
bigdata…. :D Chmura….
Problem w tym że jak nie wypracujemy sposobu na mniej dziurawe rozwiązania to w końcu pozostanie nam wrócić do skarpetek i telefonów na korbkę.
Obecnej “chmurze” nikt przy zdrowych zmysłach by nie zaufał patrząc na jej jakość…
A ufa jej większość okablowanego świata :D
To występowało również na Gmailu – o czym informowałem niebezpiecznika, ale niebezpiecznik delikatnie mówiac, olał mnie… ;)
Poważnie? Ted napisz szczegóły sprawy…bardzo interesujące. Dziwne, że Niebezpeicznik.pl Cię olał ..pewnie miałeś nie sprawdzone informacje (podejżewam)
Dlatego ja mam pod PayPal podpiętą tyko kartę do transakcji intenetowych i jak coś kupuję, to tyko przelewam potrzebną sumę i szlus.
Jak można być tak tępym, żeby swoje newralgiczne dane wysyłać w Internet nie korzystając z VPN? xD