Quantcast
PplWare Mobile

Hora de mudar a password do PayPal! 35.000 utilizadores vítimas de um ataque de hackers

                                    
                                

Autor: Pedro Simões


  1. Joao Ptt says:

    Já tenho o segundo factor de autenticação activado há muito.
    A senha é complexa e não utilizada em mais lado nenhum.
    Até o e-mail é único e só para esse serviço.

    Infelizmente não suportam chaves de segurança FIDO U2F ou FIDO2, logo a segurança não é grande coisa, mas é o que permitem utilizar.

    A senha, sei lá eu que técnicas utilizam no servidor para proteger a informação, espero que seja melhor que o que se vê em outros serviços online que já viram as suas bases de dados furtadas.

    • Rui says:

      Se sofrer uma ataque de “roubo de sessão” não interessa se tem 2FA ou FIDO. Será roubado da mesma maneira.

      • Eduardo says:

        Por isso a necessidade de fazer logout para destruir os dados e sessões de apenas alguns minutos. Em webapps acabo por implementar um conjunto de dados únicos de quem fez um login e valido sempre. Pode dar falsos positivos em certas situações, mas sempre aumenta a segurança

      • Joao Ptt says:

        É verdade Rui. Se o dispositivo estiver infectado com programa maligno que furte o cookie da sessão é o fim da macacada. Por outro lado não tenho saldo, e quando efectuo compras uso um cartão de crédito de utilização única com o limite da compra que quero fazer.
        Os estragos que podem fazer a nível financeiro são limitados.

        Mas tem razão, o Paypal deveria solicitar novamente a senha e o segundo factor de autenticação sempre que se estivesse prestes a fazer algo que comprometesse a privacidade/ segurança da conta ou o património financeiro.

        Mas sem FIDO U2F/ FIDO2 receio que mesmo esse cuidado não seria suficiente em muitos casos… como em páginas falsas que obtenham os dados da página original em tempo real para efectuar as operações.

        Pessoalmente gostaria que eles suportassem o Threema e enviassem uma mensagem de confirmação para lá, que dessa forma limitavam aquilo que um atacante poderia fazer… mas o Paypal nem um SMS ou E-mail envia para confirmar acções que terceiros não autorizados podem efectuar, quanto mais mensagens enviadas para um aplicativo de mensagens mais seguro que o comum.

        O Paypal só quer saber de uma coisa: fazer com que seja o mais fácil possível você gastar o seu dinheiro, eles não querem colocar qualquer barreira, nem por escolha do próprio cliente, à pessoa gastar lá o seu dinheiro. Estou convencido que é por isso que nunca adoptaram o FIDO U2F/ FIDO2.

    • Eduardo says:

      De acordo com os dados vazados de muitos ataques a grandes empresas, estas ainda guardam as passes em plain text ou apenas sha1. Quase nenhuma usa um salt ou paper para protegerem as passes menos complexas

  2. SANDOKAN 1513 says:

    Ainda bem que nunca usei este serviço.Foge… 😐

  3. KodiakShadows says:

    Eu utilizo o Paypal todos os dias e desde 2004 e até hoje nunca tive algum problema. Acho que os factores de segurança do Paypal e do HSBC que é o meu Banco, deixam-me tranquilo, é que nem me preocupa.

    • eu says:

      Tu necessitas de acertar todas as vezes para manteres a segurança.
      Um pirata informático só necessita de acertar 1 vez.
      É uma injustiça mas é o que é.

  4. Luís Silva says:

    Depois de atacarem em início de dezembro de 2022, é agora que somos alertados para mudar de password?

  5. Jorge says:

    Se usarem o 2FA optem pela aplicação de autenticação, pois os hackers podem (com bastante trabalho) interceptarem as SMS.

    • Joao Ptt says:

      Verdade, SMS nunca foi um meio seguro, e nunca será.

      As aplicações que produzem códigos de 6 números que mudam a cada 30 segundos também não são muito seguras, basta um atacante obter 4 códigos e consegue reverter o processo para saber qual o código secreto no qual o aplicativo se baseia para gerar os códigos de 6 números, mas é melhor que nada! E eu utilizo isso no Paypal já que é o melhor que têm disponível.

      Sugiro é que criem as perguntas e resposta de segurança, porque isso de facto evita que consigam recuperar o acesso à conta por outros meios já que o Paypal vai exigir uma resposta de segurança.
      É meterem respostas de segurança do género: 52798 utwie 29209 thdbb otioi 23333
      que vão ver que ninguém vai descobrir a senha ao acaso, a não ser que furtem a base de dados do Paypal e aí só mudando a resposta.

  6. joao says:

    ja nao uso esse servico de bosta!

  7. frango says:

    a mim pede.me sempre o sms do telemovel sempre que faco alguma compra ate para fazer o login….bem podem ficar com a pass….

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.