Proponha uma correção, faça uma sugestão
Hora de mudar a password do PayPal! 35.000 utilizadores vítimas de um ataque de hackers
O PayPal é um dos serviços mais importante na Internet, no que toca a pagar e receber dinheiro. Este tem regras e pressupostos de segurança elevados, para que os utilizadores estejam protegidos contra ataques e contra hackers.
Mesmo com todas as medidas aplicadas, estes não deixam de tentar a sua sorte. A informação avançada, dá conta de que 35.000 utilizadores foram vítimas de um ataque de hackers, devendo por isso proteger as suas contas. Do que se sabe este ataque acabou por ser contido.
O acesso não autorizado a uma conta do PayPal pode ser muito complicado para os seus utilizadores. Rapidamente os atacantes podem roubar todo o dinheiro presente ou simplesmente fazer compras não autorizadas em muitos sites da Internet.
Assim, a informação agora revelada é relevante para os utilizadores do PayPal. Um ataque ocorrido recentemente, deixou expostas 35.000 contas de utilizadores. Não foi uma falha do serviço, mas sim dos utilizadores que reutilizaram dados de acesso de outros sites, que foram roubados noutros ataques.
O que o PayPal reportou, foi uma tentativa de utilização destes dados, para assim os hackers ganharem acesso às contas. Sabe-se que houve casos de acessos com sucesso, com o roubo de alguns dados, como nomes, data de nascimento, moradas, números de segurança social e histórico de compras.
Ao detetar estes acessos ou tentativas por parte dos hackers, o PayPal reagiu de imediato e bloqueou o ataque que iria ter lugar de forma muito alargada. Para protegerem as contas dos utilizadores que não tinha o 2FA ativa, alteraram a password e bloquearam o acesso.
Esta tentativa de ataque teve lugar no início de dezembro de 2022 e o PayPal agiu de imediato para proteger os utilizadores. Os que foram visados, receberam notificações a dar conta do que se passou com a sua conta e instruções para se protegerem de imediato.
Mais uma vez são os próprios utilizadores que colocam em risco as suas contas. No caso do PayPal, como noutras situações no passado, a reutilização de dados de acesso permite os ataques com estes a serem roubados de outros lados. A simples utilização de medidas de 2FA consegue rapidamente bloquear estes ataques dos hackers.
Este artigo tem mais de um ano
Loading ...
Já tenho o segundo factor de autenticação activado há muito.
A senha é complexa e não utilizada em mais lado nenhum.
Até o e-mail é único e só para esse serviço.
Infelizmente não suportam chaves de segurança FIDO U2F ou FIDO2, logo a segurança não é grande coisa, mas é o que permitem utilizar.
A senha, sei lá eu que técnicas utilizam no servidor para proteger a informação, espero que seja melhor que o que se vê em outros serviços online que já viram as suas bases de dados furtadas.
Se sofrer uma ataque de “roubo de sessão” não interessa se tem 2FA ou FIDO. Será roubado da mesma maneira.
Por isso a necessidade de fazer logout para destruir os dados e sessões de apenas alguns minutos. Em webapps acabo por implementar um conjunto de dados únicos de quem fez um login e valido sempre. Pode dar falsos positivos em certas situações, mas sempre aumenta a segurança
É verdade Rui. Se o dispositivo estiver infectado com programa maligno que furte o cookie da sessão é o fim da macacada. Por outro lado não tenho saldo, e quando efectuo compras uso um cartão de crédito de utilização única com o limite da compra que quero fazer.
Os estragos que podem fazer a nível financeiro são limitados.
Mas tem razão, o Paypal deveria solicitar novamente a senha e o segundo factor de autenticação sempre que se estivesse prestes a fazer algo que comprometesse a privacidade/ segurança da conta ou o património financeiro.
Mas sem FIDO U2F/ FIDO2 receio que mesmo esse cuidado não seria suficiente em muitos casos… como em páginas falsas que obtenham os dados da página original em tempo real para efectuar as operações.
Pessoalmente gostaria que eles suportassem o Threema e enviassem uma mensagem de confirmação para lá, que dessa forma limitavam aquilo que um atacante poderia fazer… mas o Paypal nem um SMS ou E-mail envia para confirmar acções que terceiros não autorizados podem efectuar, quanto mais mensagens enviadas para um aplicativo de mensagens mais seguro que o comum.
O Paypal só quer saber de uma coisa: fazer com que seja o mais fácil possível você gastar o seu dinheiro, eles não querem colocar qualquer barreira, nem por escolha do próprio cliente, à pessoa gastar lá o seu dinheiro. Estou convencido que é por isso que nunca adoptaram o FIDO U2F/ FIDO2.
Não tenho razão de queixa. O PayPal assim que faço um pagamento envia-me um e-mail.
De acordo com os dados vazados de muitos ataques a grandes empresas, estas ainda guardam as passes em plain text ou apenas sha1. Quase nenhuma usa um salt ou paper para protegerem as passes menos complexas
Ainda bem que nunca usei este serviço.Foge… 😐
Eu compreendo. Este serviço é apenas para adultos.
grande Joana.
Eu utilizo o Paypal todos os dias e desde 2004 e até hoje nunca tive algum problema. Acho que os factores de segurança do Paypal e do HSBC que é o meu Banco, deixam-me tranquilo, é que nem me preocupa.
Tu necessitas de acertar todas as vezes para manteres a segurança.
Um pirata informático só necessita de acertar 1 vez.
É uma injustiça mas é o que é.
Depois de atacarem em início de dezembro de 2022, é agora que somos alertados para mudar de password?
Se usarem o 2FA optem pela aplicação de autenticação, pois os hackers podem (com bastante trabalho) interceptarem as SMS.
Verdade, SMS nunca foi um meio seguro, e nunca será.
As aplicações que produzem códigos de 6 números que mudam a cada 30 segundos também não são muito seguras, basta um atacante obter 4 códigos e consegue reverter o processo para saber qual o código secreto no qual o aplicativo se baseia para gerar os códigos de 6 números, mas é melhor que nada! E eu utilizo isso no Paypal já que é o melhor que têm disponível.
Sugiro é que criem as perguntas e resposta de segurança, porque isso de facto evita que consigam recuperar o acesso à conta por outros meios já que o Paypal vai exigir uma resposta de segurança.
É meterem respostas de segurança do género: 52798 utwie 29209 thdbb otioi 23333
que vão ver que ninguém vai descobrir a senha ao acaso, a não ser que furtem a base de dados do Paypal e aí só mudando a resposta.
ja nao uso esse servico de bosta!
+1!
Comissões e mais comissões…
a mim pede.me sempre o sms do telemovel sempre que faco alguma compra ate para fazer o login….bem podem ficar com a pass….