O Paypal mantém um método de entrar na conta que depende apenas de um SMS, ultrapassando passwords e código 2-factor.
Poderia pensar-se que um serviço que lida com dinheiro, como o Paypal, fizesse todos os possíveis por assegurar a máxima segurança do serviço. No entanto, parece fazer precisamente o oposto, permitindo que método inseguros ultrapassem as formas seguras de autenticação.
Apesar do Paypal permitir a utilização de códigos adicionais (2FA) para complementar a password - algo que, tendo em conta o tipo de serviço, nem sequer deveria ser opcional - pelo menos nos EUA acaba por dar um verdadeiro "tiro no pé" ao permitir o login na conta através de um simples código enviado via SMS. Este método sobrepõe-se aos demais métodos e, na prática, torna completamente irrelevante que se utilize um password segura e se tenha activado a autenticação de 2 factores.
Tudo o que um atacante tem que fazer é saber o endereço de email da vítima e apoderar-se do seu telemóvel (ou fazer um ataque SIM swap para se apoderar do seu número). É algo que até se pode tornar perigoso num roubo oportunista: já que quem conseguir por as mão num smartphone roubado, que poderá exibir o endereço de email do dono para poder ser contactado, poderá rapidamente dar um salto ao Paypal para tentar a sua sorte, introduzindo o endereço de email e pedindo o login via código, que poderá ser exibido de forma visível numa notificação mesmo com o smartphone bloqueado. E com isso, o ladrão / atacante entrará sem qualquer dificuldade na conta Paypal da vítima.
É verdadeiramente inacreditável que o Paypal permita fazer logins deste tipo, ainda por cima justificando-os como sendo para "conveniência dos utilizadores".
Subscrever:
Enviar feedback (Atom)
A minha conta está associada a Portugal, e o Paypal não me deixa entrar na conta só sabendo o e-mail e tendo acesso ao número de telefone.
ResponderEliminarA opção de pedir uma senha temporária nem está disponível para mim.
Eles referem que a minha conta está sujeita às regras de segurança do PSD2 (Diretiva de Serviços de Pagamento da UE)... algo que utilizadores de outras áreas geográficas não estarão e daí estarem vulneráveis a esse tipo de ataque.
Tenho as duas perguntas e respostas de segurança definidas, e o Paypal, mesmo que tente recuperar o acesso à conta e que peça uma senha para o telefone, a seguir exige sempre que responda a uma das duas perguntas de segurança na mesma.
Por tanto não há forma de entrar na minha conta, da perspectiva de um atacante comum que sabe o e-mail do paypal e tem acesso ao número de telefone para receber mensagens, sem pelo menos saber a resposta a uma das perguntas de segurança... que no meu caso é ainda mais difícil que a senha em si, já que não dei uma resposta óbvia e apliquei a mesma lógica das senhas... algo complexo e impossível de lembrar.