Bezpieczeństwo

PayPal stał się niebezpieczny - nie podawajcie swoich danych

przeczytasz w 1 min.

Usługa "szybkich doładowań" zmieniła operatora i... politykę. Bądźcie ostrożni i nie podawajcie swoich danych logowania.

PayPal to popularna usługa, z której chętnie korzystają miliony ludzi na całym świecie. Tym bardziej zaskakiwać może fakt, że jej właściciele zdecydowali się na bardzo dziwną, a wręcz wypadałoby powiedzieć: nieodpowiedzialną zmianę.

Użytkownicy Wykop.pl słusznie alarmują i ostrzegają, by na razie wstrzymać się od korzystania z funkcji szybkiego doładowania w usłudze PayPal. Dlaczego? Ponieważ dotychczasowy operator – Bluemedia – został zastąpiony przez inną firmę, mianowicie Trustly. I to jest takie straszne? Niestety okazuje się, że tak.

Otóż, do tej pory firma Bluemedia w celu „szybkiego doładowania” konta w usłudze PayPal wykorzystywała technikę pay-by-links, a więc taką, w której cała weryfikacja odbywała się na poziomie oficjalnego, bankowego API. Firma Trustly natomiast działa na innej zasadzie – prosi o podanie jej loginu i hasła wykorzystywanych do logowania się w systemie bankowości online.

Trustly PayPal Wykop

Co w tym złego? Ano to, że osoby, które się na to zdecydują, dają w rzeczywistości firmie Trustly dostęp do swojego konta bankowego. Oczywiście nie sugerujemy, że może ona celowo „wyczyścić” nasze konta, niemniej jest to sytuacja niebezpieczna.

Po pierwsze Trustly, mając dostęp do naszego konta, może przejrzeć historię wykonywanych transakcji i na tej postaci stworzyć osobowy profil. Po drugie nie wiadomo jak dobrze swoje serwery (a do tego, że przechowuje na nich nasze informacje przyznaje się sama) chroni ta firma i czy w wyniku cyberataku nasze dane (i konta) nie zostaną skradzione. 

A co jeśli dane zostałyby skradzione? Przecież bank powinien nas chronić, prawda? Owszem, ale jak zauważa Niebezpiecznik, bank nie musi uwzględniać reklamacji, jeżeli informacje do logowania przekazaliśmy komuś innemu sami. Jesteśmy sami sobie winni – z prawnego punktu widzenia.

Co robić, jak żyć? Na pewno nie podawać swoich danych logowania. Na razie też lepiej będzie wstrzymać się od korzystania z opcji „szybkich doładowań” na PayPalu – przynajmniej do czasu wyjaśnienia sprawy. Dziwi tylko, że na taki krok zdecydowała się firma, która nie raz zwracała uwagę na to, jak ważne jest bezpieczeństwo w sieci.

Źródło: Wykop, Niebezpiecznik

Komentarze

26
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Faflucy
    30
    Trzeba być idiotą żeby podać takie dane.
    • avatar
      Mordgird
      17
      warto wiedziec :) dzieki
      • avatar
        Nullmaruzero
        8
        W kule sobie lecą? Jak firma nawet API nie potrafi ogarnąć to powinni być zgłaszani jako potencjalnie niebezpieczna witryna. Później jakiś stażysta konta poczyści, oni wydadzą oświadczenie i tyle, a ludzie bez forsy zostaną.
        • avatar
          variel
          4
          Jak coś chce się polepszyć to się popiep..y.
          • avatar
            ifeelveryblah
            0
            W razie czego hasło można szybko zmienić, jak już ktoś popełni ten błąd.
            • avatar
              lajmm
              -3
              Ja już z trystly korzystałem kilka razy wpłacając pieniądze na skrill, żeby doładować konto na steam. Czego wy się boicie? Jak mi niby mają wyczyści konto jak nie mają mojego telefonu na które przychodzą kody gdy chce się wykonać jakąkolwiek akcje na koncie (poza tym jest jeszcze 4cyfrowy kod, który trzeba zawsze podać jak się telefonicznie kontaktujesz z bankiem)? Nie wiem jak w innych bankach, ja mam konto w pekao i się nie boje korzystać z trustly, poza tym paypal przecież nie wziął by pierwszej lepszej firmy, a tą ja znam już 2 lata.
              • avatar
                lajmm
                -3
                Aha, jeszcze jedno, jak robię przelew przez trustly to podaje im login i hasło, następnie przechodzi się do kolejnego okna gdzie trzeba podać jeszcze jednorazowy kod z sms, który przychodzi z banku, bo przecież oni tego nie maja, a żeby zrobić przelew muszą go znać.
                • avatar
                  Konto usunięte
                  0
                  Co do MitM to przecież taka osoba może wykraść Ci bieżącą sesje.

                  Przy ataku MitM atakujący i tak przechwyci losową liczbę, algorytm szyfrujący oraz wynik (jednorazowy). Bruteforce i tak złamie.
                  Uwierzytelnianie dwuskładnikowe byłoby lepsze. Wygenerowana liczba przesłana poprzez SMS do wpisania, a nie po sieci.

                  Co do wysyłania hasła (skrótu), że to błąd, to się z tym zgadzam.

                  To nie ja byłem na szkoleniu i też miałem te rzeczy na studiach.

                  Ja się tylko przyczepiłem do stwierdzenia

                  shamoth
                  "Kiepskie to szkolenie skoro chcesz takie dane podawać bankowi, który z założenia nie poprosi Cię o nie ;)"

                  Bo bank mnie pyta o te rzeczy za każdym razem gdy się loguję. Jedynie gdzie podam takie hasło to przy logowaniu do banku, nie pani w okienku, nie przez telefon, ale na stronie do logowania do banku, bo te dane są właśnie tylko do tego.
                  Wiem, że chodziło mu o pracownika banku, a nie o stronę ;)

                  Tylko bank nie żadne podmioty trzecie
                  • avatar
                    Konto usunięte
                    0
                    To co robi firma Paypal od jakiegoś roku to jest ogólny dramat. Od czasu tzw. migracji, bo tak naprawdę do dzisiaj nie udało jej się w pełni przeprowadzić, dalej pewne rzeczy nie działają w pełni, jak historia operacji przed migracją nie pokazuje się nowym GUI, niektóre poprawne karty są odrzucane przy próbach anonimowych płatności, przez długi czas było się zmuszanym do zdefiniowania karty płatniczej na swoim profilu, by w ogóle dokonać jakichkolwiek transakcji. Katastrofa. Czas znaleźć sensowniejszą alternatywę.