На досуге я экспериментировал с webhooks в PayPal и пытался спровоцировать Eventы для того чтобы первые всё-таки сгенерировались. Для этого в своём PayPal акаунте я создавал тестовые инвойсы и случайно сделал один на адрес sds@gmail.com. Сделал и подумал вряд ли есть такой короткий адрес у кого-то и продолжил бороться с хуками, которые так и не заработали до сих пор. Но каково было моё удивление, когда у себя в PayPal в списке активностей я заметил, что тот самый тестовый инвойс обрёл имя…
Иван Середа.
Мне стало интересно и я из любопытства попытался узнать больше об этом интересном человеке. Который возможно стоял у истоков гугла. Из поисковых систем ничего узнать не удалось, к сожалению, имя и фамилия оказались одинаковыми со знаменитым героем войны.
Но дальше мне стало интересно пробить ещё более красивые имейлы подобным способом и получилось, что например abc@gmail.com принадлежит Abdul Jabbar, a@gmail.com -> Ads Sdf, b@gmail.com -> Galgla Galgal и i@gmail.com -> Maria Victoria de la Puente, g@gmail.com -> a a, i@hotmail.com -> Sevgi tertemiz и тд и тп.
Конечно, полтора из них звучат не реалистично, на некоторые инвойсы мне приходили подобные извещения «Your invoice to Maria Victoria de la Puente wasn’t delivered». Что странно: пейпал знает и выдал мне имя, а счёт доставить не смог. Получается, старина пейпал, в качестве вишенки на торте, по доброте душевной, проверил эти красивые адреса на жизнеспособность принимать почту. Возможно из-за их былой красоты и чрезмерной популярности большинство из них сейчас заброшены. Но сама дыра в приватности данных заворожила меня и я попробовал телефонные номера и это тоже сработало…
Дальше делать это вручную мне стало лень. Конечно, с помощью API можно создать много и очень много запросов в PayPal и узнать много и очень много реальных имён людей с пейпал счетами не только из Gmail. Конечно пейпал выдаёт данные ФИО которые им ввели сами пользователи. Хотя многие вводят реальные потому что на них базируется доставка оплаченных товаров и всякая авторизация и они должны быть зарегистрированы в пейпале.
Но оказалось что подобным способом можно и по номеру тел пробить имя, так как сейчас пейпал привязывает счета к номерам мобильников.
Я один думаю, что это дыра или баян и так оно и положено быть?
P.S.: если кто-то из читателей мог-бы помочь с настройками многострадальных хуков было бы здорово…
Комментарии (41)
igrblkv
02.12.2018 08:30+1Это, скорее, не дыра, а архитектурная ошибка.
Т.к. при работе с финансами доверия больше к реальному человеку (или организации) с той стороны, чем к непонятному abc@…
А вот ограничить количество запросов за какой-либо период времени, наверно, стоило-бы по-умолчанию. И разрешать безлимит для коммерческих аккаунтов крупных контор. Хотя, технически, можно рассылку счетов за очередную абонентку растянуть на несколько часов/дней, а не пулять всё сразу по всей базе…
С другой стороны, если аккаунт с которого несколько раз в месяц проводилась только оплата, вдруг начинает массово рассылать счета — то его либо взломали, либо он сам пытается взломать, либо оба два варианта сразу. И вот тут уже должен сработать антифрод- система, которая, почему-то не среагировала на нестандартную активность.
Sabubu
02.12.2018 08:55А эти аккаунты существуют в gmail или это данные, введенные на стороне Paypal и может быть таких аккаунтов и не существует?
Плюс, пишут, если вы в paypal отправляете кому-то деньги, то раскрываете свое имя.xdtb
02.12.2018 10:14+2Плюс если вам платят, то вообще тоже раскрыввеется — приходит письмо вы перевели X usd Василию Пупкину.
stalinets
02.12.2018 12:05-2Ещё одно подтверждение тому, что не нужно светить в интернете реальные ФИО.
igrblkv
02.12.2018 12:28+4Ага, и в банк лучше не со своим паспортом ходить, а то они то-же все в интернете…
PS: Что-то тег сарказм не нашел.
Sly_tom_cat
02.12.2018 12:39+1PayPay такое «не переваривает». Вернее пока там только ваша карта привязана — еще можно маскироваться (или то только раньше можно было). Но, привяжете свой банковский счет (для вывода средств) и ваше имя там светится — не убрать. С левым именем — счет привязать не даст уже банк.
prs123
02.12.2018 12:25А это точно не подписи у данных почтовых ящиков?
Sly_tom_cat
02.12.2018 12:40+1Обычно там имя из привязанного банковского аккаунта светится.
А у банкиров с именами все довольно строго…
rinaty
02.12.2018 12:45+2Кстати, аналогично в сбере по номеру телефона можно узнавать чей телефон. Да, наверное и во всех других банках, но в сбере счет у многих есть.
vindy123
02.12.2018 14:29перевести копеечку на телефон и получить детали в ответном смс? или какой-то еще способ есть?
rinaty
02.12.2018 16:22ответил ниже, нужно начать делать перевод и перед финальным подтверждением покажут, но с фамилией я промахнулся, только первую букву можно узнать
x67
02.12.2018 22:24Раньше было наоборот — фамилия и первая буква имени. Так что эта дыра "условно-закрыта" и дырой не считается.
В целлм, наверное им стоило бы разрешить придумывать псевдонимы. Обычным пользователям и так норм, но если кого-то вычисляют для темных делишек, то даже имя и первая буква фамилии могут стать "чувствительной информациейэ"ProstoUser
03.12.2018 16:22В Сбере вполне логично.
С одной стороны, имя и отчество с первой буквой фамилии позволяют убедиться в том, что перевод мы отправляем в правильное место, а с другой стороны, фамилия — это наиболее вариабельная часть идентификатора, так что идентифицировать человека не получится.
Но для мошенничества, конечно, это полезная информация. Если позвонить и обратиться по имени-отчеству, то ответивший скорее всего подумает, что звонящий на самом деле знает, кому он звонит.
vikarti
04.12.2018 18:00Как пользователь скажу: Тиньков для своих клиентов И Сберовских дает такое.
Как разработчик: пилим приложение для одного достаточно мелкого банка и данный функционал — в todo (но только между клиентами).
dmih
02.12.2018 18:23Да если очень надо можно еще 1 цент послать, в выписке тоже будет настоящее имя, и вряд ли это будут фиксить. В целом раскрытие контрагентов у них в некотором смысле by design.
TimsTims
02.12.2018 19:20Думаю, в первое время существования пейпал можно было указывать любой ящик без подтверждения, чем и пользовались данные люди. Потом лавочку прикрыли, но банить старых не стали. Вот и остались такие артефакты первой версии.
fukkit
02.12.2018 19:54Проблема не в Пейпале, у которого банковские переводы по емэйлу не баг, но фича, а в необразованных пользователях, которым интернет дали, а как им пользоваться — не показали.
Светишь банковским емэйлом в других местах интернета, откуда могут придти любители подеанонить — ССЗБ.x67
02.12.2018 22:30+1И все таки это так тупо и криво "by design", когда одной личности ради безопасности нужно иметь миллион почтовых адресов.
Полагаю, это будет одной из причин ухудшения статистики по заболеваемости диссоциативным расстройством идентичности.fukkit
03.12.2018 16:11Причина в том, что до определенного уровня развития логического мышления человеку ничего не мешает хотеть прямо противоположных вещей.
Например, «быть узнанным по email, когда тебе делает перевод незнакомец» и «не быть узнанным по email, когда тебе делает перевод незнакомец».
Отсутствие возможности одновременного существования взаимоисключающих вещей зачастую неприятно.
Иногда ты понимаешь, что так не бывает, иногда нет, и становится «тупо и криво».
Вообще говоря, идея о том, что безопасность не бесплатна — довольно тривиальная.
Да, ради безопасности нужно шевелиться, включать голову, чтобы рано или поздно тебя в том или ином виде не «съели».x67
03.12.2018 21:47оверхед на безопасность не должен быть слишком большим, иначе система, требующая этих вложений — кривая.
Тут проблема в том, что сначала разрабатывалась одна система для одних целей, а потом ее стали модифицировать, чтобы она соответствовала совершенно другим требованиям. В результате такой оцифровки и возникают такие дыры.
segerybloeyv
03.12.2018 02:56Странно. Гугл говорит, что в его почте нет имен короче шести знаков.
chouck Автор
03.12.2018 02:58Я то так тоже думал. Ну это сейчас когда он большой и популярный, он так говорит, но оказывается есть люди у которых и один знак есть
QDeathNick
03.12.2018 15:11А ещё у гугла сейчас есть ограничение, при длине ящика >7 обязательно наличие буквы, с чем это может быть связано?
И не только у гугла такая ситуация, у mail.ru тоже сейчас есть разные ограничения, но есть люди с ящиками из нескольких цифр.force
03.12.2018 18:00Думаю, резервируют ящики вида номер_телефона@gmail.com
QDeathNick
03.12.2018 19:32Странно, что с 8 начиная, если логин более короткий, то такого требования нет.
ingumsky
03.12.2018 12:34В своё время Гугол не дал мне создать email ivan@gmail.com, утверждая, что имя уже занято. Возможно, тогда они просто не афишировали, что имена не должны быть совсем короткими, но…
chouck Автор
03.12.2018 21:20+1«Bill To ivan@gmail.com» похоже счастливчик так и не засветился в пейпале
L3n1n
04.12.2018 00:02Что бы оплатить через пейпал не всегда обязательно иметь там акк.
Вот с такими данными и столкнулся автор. Кто то указывал несуществующие ящики и фио при оплате, вводил номер карты и оплачивал. Другой вопрос что пейпал сохраняет эти фейк данные без верифа для будущей регистрации.
Коротких gmail не встречал. С момента когда почта у гугла была еще в бета-версии они не давали регистрировать меньше 6 букв ящики.
igruh
Извините, конечно, но, пожалуйста, не брезгуйте впредь запятыми — очень тяжело читается.
agarus
Запятые, отступы и абзацы для слабаков )
Danikey
Только ли запятые?
Эээ… шта? Я сломал себе мозг. После этого перестал читать и полез в комментарии, проверять, кто первым напишет про безграмотность. И — bingo!