12:05
27/12/2016

Otrzymaliśmy wczoraj kilka zgłoszeń od naszych czytelników, którzy próbując płacić przez PayPal, logowani byli na cudze konta. Jednemu z czytelników przez przypadek udało się nawet wykonać zakup produktu cudzym kontem.

Jeden z naszych czytelników, próbując płacić ze swojego konta, nagle stał się Scottem,

…a po wylogowaniu się i ponownej próbie, dalej nie był sobą, a Markiem z Holandii:

Na podstawie powyższego wyciągamy wniosek, że wczoraj w PayPalu doszło do awarii, której skutkiem było “mieszanie sesji”, czyli logowanie użytkowników na nie ich konta. To oznacza, że równie dobrze ktoś mógł zapłacić z Waszego konta — dlatego zamiast czekać aż PayPal sam wykryje błędne transakcje, na wszelki wypadek sprawdźcie historię zakupów na swoich kontach (i wyciągi z podpiętych do PayPala kart płatniczych). W razie problemów, zgłoście reklamacje lub cofnijcie transakcję, albo skorzystajcie z procedury CHARGEBACK w swoim banku.

PS. Mieszanie się sesji, które może być spowodowane zarówno kolizją klucza sesyjnego jak i błędem na loadbalancerach, czy po prostu błędem programistycznym, występowało ostatnio w serwisach T-Mobile, GoldenLine i Allegro.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

25 komentarzy

Dodaj komentarz
  1. Na moje oko mechanizm “zapamiętywania” konta PayPal zawiódł. Ludzie korzystający z publicznych VPN logowali się do PayPala, a następnie kolejne osoby, które otrzymały ten sam adres IP dostawały również dostęp do konta osoby, która logowała się do PayPal.

    • Jak można być tak tępym, żeby logować się będąc na vpn’ie?

    • A kto normalny loguje się gdziekolwiek przez vpn?

    • A jak ma się logować korzystając z publicznego wifi jak nie przez vpn?

    • możecie rozwinąć ten temat? do tej pory zawsze korzystałem z VPN przy podłączeniu do ogólnodostępnych/niezaufanych sieci. Wiem, że VPN nie daje 100 % bezpieczeństwa ale żyłem w przeświadczeniu, że znacznie je poprawia i dlatego często z niego korzystałem (mam abonament w PIA). z góry dzięki za sensowną odpowiedź.

  2. Jeżeli to problem z mieszaniem sesji i nie został od załatany to lepiej będzie jednak chyba nie logować się tak od razu na swoje konto ;)

  3. Nie ma to jak trzymać na PayPalu grosz do obliczania konwersji walut, a doładowywać tylko w razie potrzeby.

    A co z dwuskładnikowym uwierzytelnianiem? Pomogło by tu coś? Czy to tylko na logowanie, a nie na przelewy jest?

    • Też mnie to zastanowiło po przeczytaniu newsa. Czyli co? Nawet mając weryfikację na podstawie smsa od Paypala i tak by mnie zalogowało jako John Doe?
      Na szczęście u mnie nic złego się nie dzieje. Konto doładowywuję tylko gdy coś kupuję a podpięte karty i tak są puste (walutowe ale nie kredytowe) – więc nici z zakupów ;)

  4. Chyba pierwszy raz w zyciu pomyslalem sobie “Dobrze ze konto w banku puste”… Z pustego to nawet Salomon nie zapi….li ;)…

    • A kredyt? ;)

    • No chyba, że używasz kart. To wtedy się możesz zdziwić ;) Nawet puste konto ci nie pomoże :)

    • Mam tylko karty debetowe + zastrzeżenie “do wysokości salda” i wystarczy na takiego hakiera :)

    • Piotrze – jak uda sie Hakierowi wziac kredyt na moim koncie to nasci Jagus na zdrowie ;)… Zablokowany. Karty debetowe. Nie da sie zjechac ponizej 0.00.

  5. A możesz wytłumaczyć czemu nie logować się nigdzie przez VPN? Wydaje mi się że jestem normalny, ale tym mnie zaskoczyłeś bo używam VPN praktycznie bez przerwy od kilku miesięcy.

  6. Jak w takich instytucjach jak PayPal czy Allegro mogą występować takie błedy?..

    • Najslabszym ogniwem jak zawsze jest czlowiek. Przetestowal za slabo albo nie przetestowal wcale bo byl pod cisnieniem… S#!t happens…

    • Często…

  7. bigdata…. :D Chmura….

    Problem w tym że jak nie wypracujemy sposobu na mniej dziurawe rozwiązania to w końcu pozostanie nam wrócić do skarpetek i telefonów na korbkę.

    Obecnej “chmurze” nikt przy zdrowych zmysłach by nie zaufał patrząc na jej jakość…
    A ufa jej większość okablowanego świata :D

  8. To występowało również na Gmailu – o czym informowałem niebezpiecznika, ale niebezpiecznik delikatnie mówiac, olał mnie… ;)

    • Poważnie? Ted napisz szczegóły sprawy…bardzo interesujące. Dziwne, że Niebezpeicznik.pl Cię olał ..pewnie miałeś nie sprawdzone informacje (podejżewam)

  9. Dlatego ja mam pod PayPal podpiętą tyko kartę do transakcji intenetowych i jak coś kupuję, to tyko przelewam potrzebną sumę i szlus.

  10. Jak można być tak tępym, żeby swoje newralgiczne dane wysyłać w Internet nie korzystając z VPN? xD

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: