Сегодня утром меня разбудили неожиданные SMS
Кажется, я поделился своим кодом.
Странно. Не припоминаю, чтобы я пользовался PayPal во сне. Однако такое происходит. Кто-то периодически вводит ваш email на сайте и нажимает «Forgot password». Подробности — к старту нашего курса «Белый хакер».
Одноразовый код отправляется на вашу почту и остаётся погребённым там на веки вечные, так как у хакера (или у человека, который ошибся при вводе) нет доступа к другой информации, которой владею я. Едва ли они получат мой пароль, так как он представляет собой случайно сгенерированную последовательность из 12 или более символов.
«Я просто включаю двухфакторную аутентификацию при помощи Authenticator и больше не парюсь, что мой PayPal могут когда-нибудь взломать».
Так я думал…
Но, как оказалось, даже включение 2FA в PayPal не мешает никому входить в ваш аккаунт, имея лишь мой email и код из SMS. Никакой пароль для этого не требуется.
Так оно и есть. От очень большого ума PayPal (NASDAQ: PYPL) реализовал мегаудобный метод входа, для которого не нужно вспоминать этот противный пароль.
Этот метод называется «вход по одноразовому коду». И он ужасен.
Кнопка «Log in with a one-time code» появляется на экране, как только введён адрес электронной почты, к которому привязан ваш аккаунт в PayPal.
Мы все ненавидим пароли, верно? Их легко отгадать, трудно запомнить, и, если мы упраздним их в ближайшем будущем, может быть, этот мир станет лучше. Поэтому PayPal — банковское приложение — предложило способ доступа к аккаунту без ввода пароля при помощи одноразового кода.
И это выглядит очень удобным для каждого, кто не любит ломать голову над поиском своего же пароля. Многие сайты, такие как Slack, Cash App и даже Medium, разрешают вход по одноразовому коду, который приходит на email. Мне же совсем не нравится, что у моих банковских приложений есть такая функция, особенно когда для отправки кода используются SMS, которые очень легко перехватить при помощи переноса номера. Что же, давайте тогда просто отключим эту функцию, чтобы всегда входить в систему с паролем и кодом приложения-аутентификатора.
Но сделать этого мы не сможем.
Эта маленькая кнопка «Log in with a one-time code» присутствует всегда. Для всех и каждого. Она всё время находится прямо под кнопкой «Log In» (если, конечно, вы на сайте PayPal.com, а не в приложении PayPal). Любой желающий войти в ваш аккаунт без пароля может это сделать, даже если вы установили 2FA.
Последнее утверждение очень важно, и его нужно чётко повторить:
Кнопка «Log in with a one-time code» позволяет обойти любые другие меры безопасности, которые могут быть установлены на вашем аккаунте, включая двухфакторную аутентификацию.
Таким образом, установили ли вы на ваш аккаунт PayPal 2FA, скажем, с помощью приложения Google Authenticator или USB-ключа безопасности, не имеет значения. Кнопка «Log in with a one-time code» (эту кнопку следовало бы назвать «а я и так войду») использует совершенно другой путь аутентификации, который обходит обычные пути через пароль или пароль и токен. Это совершенно отдельный путь, требующий только одноразового SMS-кода, который, как уже неоднократно доказано, является небезопасным и легко взламываемым.
Что же это за чертовщина? Такой банковский гигант, как PayPal, просто не мог чем-нибудь не оправдать её существование, не так ли?
А вот и нет! PayPal вообще ничего не говорит об этом, кроме того, что «эта функция постоянно включена для защиты наших клиентов».
На форумах paypal-community.com пользователь с ником Only1KW 1 ноября 2021 года создал ветку под названием «How do I disable one-time codes» («Как мне деактивировать одноразовые коды»).
В обсуждении этой ветки Only1KW негодует по поводу функции одноразового кода и спрашивает, как её отключить, чтобы для входа всегда использовался пароль. В следующих ниже ответах модераторы форума PayPal пытаются «найти решение». По сути, они то предлагают решение другой проблемы, а то и вовсе ничего не предлагают.
Модератор PayPal_Natasha заявляет, что коды в SMS активны всегда якобы для «защиты» клиентов.
Ветка продолжается ещё на несколько страниц вперёд и полна недовольными отзывами клиентов, которые говорят, что, если эта функция и призвана защищать клиентов, результат получается обратным. Показанный выше ответ PayPal_Natasha является последним ответом модератора PayPal в этой ветке.
Хотя одноразовые коды распространены среди самых разных сайтов и приложений, они всегда сопровождаются другим фактором аутентификации, если этого желает пользователь. И, хотя вы можете войти в Slack или Cash App по одному email или SMS-коду, включение двухфакторной аутентификации в любом из этих приложений означает, что теперь требуется и второй фактор аутентификации. В случае PayPal это остаётся лишь предложением.
Если посмотреть на вкладку «Security» (Безопасность) в настройках PayPal, то неудивительно, что и пользователи, и сотрудники службы поддержки путаются в различных настройках безопасности.
Вкладка «Security» в настройках аккаунта PayPal.
Помимо обычных настроек безопасности, таких как смена пароля, включение двухэтапной аутентификации и управления устройствами, на которых вы зарегистрированы, PayPal также имеет четыре дополнительные настройки безопасности. Ни одна из них не включает и не отключает вход по одноразовым кодам. На самом деле можно смело утверждать, что все эти дополнительные настройки только предоставляют дополнительные способы несанкционированного доступа к вашему счёту на PayPal. Ни для кого не секрет, что все эти «вопросы безопасности» неэффективны и легко угадываются, а вот зачем на самом деле нужны два разных типа PIN-кодов, вряд ли кто-то знает.
Включение 2FA на PayPal никому не помешает войти в ваш аккаунт лишь по email и SMS-коду.
«У моей подруги реально взломали симку и с ней вошли на её PayPal, — пишет пользовательница Mmcgo1 [прим. перев. — её зовут Mary McGowen]. — Поэтому я свои банковские счета с PayPal удалила».
«Если мой телефон украдут, они смогут сразу же покупать через PayPal, даже не зная моего пароля, или пропустить экран аутентификации, поскольку эти одноразовые текстовые уведомления появляются прямо на экране блокировки. Кому это может упростить жизнь, кроме возможных мошенников?» — возмущается пользователь adampcompton. И он прав — большинство iPhone и смартфонов на Android по умолчанию отображают фактическое содержимое ваших сообщений на экране блокировки. Я настоятельно рекомендую отключить эту функцию в настройках телефона.
PayPal должен требовать двухфакторную аутентификацию на всех счетах, где пользователи её установили. Возможность входа в систему по одноразовым кодам должна как минимум допускать дополнение вторым фактором аутентификации, таким как вопрос безопасности или PIN-код. Разрешение входа с одним небезопасным фактором аутентификации, когда пользователи настроили 2FA на своих счетах, — опасный и безответственный подход, за который ни в чём не повинным людям приходится расплачиваться своими деньгами.
Единственным средством защиты от этого является закрытие счёта на PayPal.
Научим искать уязвимости, чтобы вы прокачали карьеру и стали востребованным IT-специалистом. Если вы не найдёте работу, мы просто вернём деньги (возврат — акция в рамках «Чёрной пятницы»).
Чтобы посмотреть все востребованные профессии, кликните по баннеру.
Data Science и Machine Learning
- Профессия Data Scientist
- Профессия Data Analyst
- Курс «Математика для Data Science»
- Курс «Математика и Machine Learning для Data Science»
- Курс по Data Engineering
- Курс «Machine Learning и Deep Learning»
- Курс по Machine Learning
Python, веб-разработка
- Профессия Fullstack-разработчик на Python
- Курс «Python для веб-разработки»
- Профессия Frontend-разработчик
- Профессия Веб-разработчик
Мобильная разработка
Java и C#
- Профессия Java-разработчик
- Профессия QA-инженер на JAVA
- Профессия C#-разработчик
- Профессия Разработчик игр на Unity
От основ — в глубину
А также
Комментарии (31)
aamonster
07.11.2022 13:11+2По сути то же самое, что типовая и общеизвестная проблема – при наличии функции восстановления пароля двухфакторная аутентификация превращается в однофакторную.
Protos
07.11.2022 20:46Ну как бы перед восстановлением пароля нормальные компании предлагают ввод другого первого фактора на другом устройстве (Push на все устройства где залогинен), ответ на вопрос (тот, что пользователь придумывает сам, а не из списка «тупых вопросов»), ввод второго фактора если доступен, кто-то уже перешёл на Seamless/SIM-Push, и так далее.
pda0
07.11.2022 13:22+15Единственным средством защиты от этого является закрытие счёта на PayPal.
Ещё можно в Россию или Беларусь переехать. У нас сейчас PayPal очень хорошо защищён, ни одному злоумышленнику не удастся снять деньги с вашей карты...
furtaev
07.11.2022 14:30-8Пайпал давно не работает в России. У вас точно для "белых" (а не тёмно-серых) хакеров курсы?
Или просто фигачите копипасту не думая?
Paranoich
08.11.2022 16:02+1Обожаю ваши комментарии.
Чуть что не так и волшебное слово "Россия" появляется.
Да и не так давно "Пайпал" у нас не работает. Иногда месяцы кажется десятилетиями, верно?
fk0
07.11.2022 14:56+5Почему никто не говорит, что такое сейчас с любым российским банком творится. Раньше было масса всяких вариантов, от SSL-сертификатов (для аутентификации клиента), до специальных приборчиков, куда нужно было карту вставлять. А сейчас у всех -- только SMS. Причём у всех же есть возможность "восстановить доступ" через SMS. Раньше у некоторых для этого было нужно идти к банкомату, а теперь ничего не нужно.
И вишенкой на торте -- возможность "восстановления пин-кода" у опсосов. Не по PUK-коду, а просто по факту обращения в поддержку в чатике с зачитыванием паспортных данных потерпевшего.
lohmatij
07.11.2022 18:21Притом технологии не стоят на месте, и кредитку уже никуда не нужно вставлять для проверки.
Я недавно получил карту Capital One, при первой настройке приложения, карту нужно физически приложить к айфону, я так понимаю это работает через nfc.
Гениальная же вещь, почему это не стало стандартом еще?
inkelyad
07.11.2022 21:33+1Тут вопрос, для чего это прикладывание используется. Если просто для того, чтобы номер карты считать - это это то же самое. А если используется чип карты для подтверждения владения - тогда это более-менее правильно.
Правильнее было бы еще не только для 'первый раз' но и вообще для логина в приложение карту использовать. Или вообще для подтверждения любой операции. Ибо именно для этого чип в карте и стоит, делая ее аппаратным токеном.
Protos
07.11.2022 20:49Вообще сильно развита аналитика действий и фол мониторинг, поэтому почему бы и нет?Вангую десятки банков в ближайшие месяцы перейдут на seamless / SIM-Push либо вообще для безвольной односторонний аутентификации либо для двухфакторной.
Akuma
07.11.2022 15:17+3Тем временем абсолютно все российские банки имеют вход чисто по СМС. Обычно даже ничего другого не требуется: номер + смс.
Abyss777
07.11.2022 17:27В тинькове если установлен пароль, и нажать "не помню пароль" то просит ввести номер пластиковой карты.
fk0
07.11.2022 18:37Только вот раньше у тебя нужно было суметь отжать карточку, потом долго бить и обещать палец отрезать. Чтоб пин-код сказал. Это одна статья, тяжёлая.
А теперь достаточно лишь подрезать сумочку в которой мабила, карточка и паспорт. Это другая статья, да и соскочить легко. Залочена ли мабила, супер-пупер-зашифрована -- всё не важно. Важно только, что симку можно вынуть, обратиться к всем четырём возможным в регионе опсосам и попросить сказать пинкод. В особо запущенных случаях и пин-кода нет (на симке).
vikarti
08.11.2022 17:10eSIM
Ну и опсосов может быть больше четырех.
При этом у как минимум одного из банковских MVNO вполне себе можно получить eSIM полностью онлайн, находясь в регионе где они официально не работают, и все будет работать (ну да, с точки зрения звонков кого то у кого в тарифе звонки на российские номера других операторов в пакет не входят на такой номер — это попадалово на деньги). Придется с паспортом в руках селфи поделать конечно.А еще есть всякие бизнес VoIP операторы вроде Задарма (теперь уж Novofon) или там Гравител. Номера в том числе для приема СМС — дадут. Гравител и симки FMCшные даст. Дорого правда....
fk0
07.11.2022 18:40Номер карты тупо подсмотреть можно.
Abyss777
07.11.2022 18:46Я не ношу с собой карту.
Дело не в этом, в исходном посте утверждалось "абсолютно все российские банки имеют вход чисто по СМС" я просто указал, что это неправда.
А я проверил еще в одном непопулярном банке, там вообще про номер телефона не спрашивают, выбор либо номер паспорта, либо номер счета при "Забыл пароль"
Jetmanman
07.11.2022 19:29Скажите пожалуйста, а где в популярных сервисах по другому? Вы думаете в телеге не так? Всё ломается через смс, либо вам сразу приходит смс код от сервиса, либо надо сначала взломать вашу почту, для чего нужно опять перехватит ваше смс. Все завязано на телефон номер телефона специально.
Но на минуточку кто имеет доступ к вашему номеру? Оператор связи, а кто ещё? Хакеры могут перехватить вашу смс из любой точки мира и не обязательно стоять рядом с вами. Я думаю это сделано специально, чтобы спецслужбы, по крайней мере США, могли взломать любого человека. Непосредственно к телеге, например, т.к. ее разблочили в РФ, я думаю у ФСБ есть доступ к переписке любого пользователя, ну и опять же через оператора связи это можно получить легко. Все почему-то думают, что это дыра, типа в компаниях такие тупые безопасники работают, нет это не дыра, я думаю это неафишируемая обязанность.
oleg_rico
07.11.2022 23:32У меня просто нет привязанного номера телефона к PayPal американскому. Вот и всё
Kanut
08.11.2022 09:54Эта маленькая кнопка «Log in with a one-time code» присутствует всегда. Для всех и каждого. Она всё время находится прямо под кнопкой «Log In» (если, конечно, вы на сайте PayPal.com, а не в приложении PayPal).
Сейчас решил проверить в немецкой версии(всё ещё Paypal.com) и не могу найти такую опцию. Не там смотрю?
fanatikvoice
09.11.2022 14:36Возможно, кстати, обкатывают на Америке, а потом уже на всё остальные запустят.
Kanut
09.11.2022 15:10+1Может и так. Но подозреваю что скорее дело в местном законодательстве. Потому что по этому самому законодательству еслибанк предлагает такие вот "не особо безопасные способы аутентификации", то он потом по дефолту отвечает за все возможные косяки. То есть если у кого-то уведут деньги, то в таком случае банк обязан всё возместить.
Eugenlusz
09.11.2022 21:29У меня трехфакторная аутентификация. В случае с пэйпелом, которым я впрочем, не пользуюсь, получится как раз двух.
Работает так:
1. Дома лежит малинка с lte модемом.
2. В модем воткнута отдельная симка, куда приходят СМС от банков.
3. Малинка высылает их электронной почтой.
таким образом:
1.В превью будет видно что принята смс на почту, но что там внутри никто не увидит.
2.Легко отключить, зайдя по ssh на малинку, и отключив высылку СМС. В отличие от сим карты, которую надо блокировать прийдя к ним в офис, что за границей может быть проблематично.
3.Никто кроме банков этот номер не знает, а значит некие злоумышленники, если вдруг найдут мой основной номер телефона в соцсетях, или еще где использовать его для банка/перевыпуска сим карты не смогут.
4. удобно открывать линки на компьютере, содержащиеся в смс.
Ну и да, принципиально не пользуюсь мобильными приложениями банков. Так что и пуши мне не грозят. Есть только приложения революта и миллениума, но этим банкам я и сам не доверяю, поэтому больше 200 евро в них не храню.
tukreb
Глупая теория. А что, если PayPal просто устал от пользователей. которые постоянно забывают пароли/почты/секретные слова и решил эту проблему таким "оригинальным" способом? Ведь мобильные телефоны есть практически у всех, а если потерял номер, то в большинстве случаев его не проблема восстановить (хотя есть и исключения с сим картами предоплатами). Ну и так же можно сократить отдел который занимался вопросом восстановлением паролей.
П.С Имел опыт подработки в тех поддержки и там почти 50%, а то все 2\3 вопросов было - "Я забыл пароль от сервера, что делать?", "Я копирую пароль и он не подходит, дайте мне новый пароль!" (когда люди из писем копируют пароли с пробелом) и т.д :)
asilzhan11
Думаю "устал" это плохое оправдание такой дыре
tukreb
Разумеется.
Меня вообще жутко бесит, когда сервис заставляет тебя привязывать телефон оправдываясь это тем, что для "защиты". Но видимо многие "эффективные" менеджеры, как и в той же Америке (случай с Blizzard и Overwatch 2) не в курсе, что у многих телефоны не привязаны к паспорту, а просто "анонимные" сим карты с предоплатой. Хотя именно в случае с Blizzard они возможно были в курсе, т.к заблокировали возможность использовать такие номера :). РФ не в счёт, там, как я слышал и знаю по опыту, нет официальных анонимных сим карт.
TopElite
Именно поэтому и нет.
Раньше были, корпоративные
takezi
Добавить возможность отключать этот функционал было бы решением, которое, думаю, удволетворило бы всех.
ykira
Автору бы жилось намного проще, если бы можно было сбросить пароль по смс коду, а не выполнять вход? Бесят порталы в которых через смс код можно сбросить пароль, пропустить Google Authenticator, но при этом нельзя зайти по смс коду без пароля.