Názory k článku Příběh hacku PayPal účtu Briana Krebse: bezpečí je jen chiméra

... oni ho OK mají, ale jak koukám: "certifikát je platný pouze pro *.blueboard.cz, blueboard.cz". Copak zkoušíš MitM nebo ho někdo zkouší na tebe?

Ha, tak jsem to už našel. Člověk se musí proklikat až do starého vzhledu a tam to je.

Security → Log In With Paypal
jsme ve starém vzhledu
klik na Profile
vlevo My Settings, Security Key, update

Ha, dohledal jsem: "Currently this is only available in 6 countries. US, CA, UK, DE, AT and AU"

https://twitter.com/AskPayPal/status/588318272719695873

https maji urcite ok, je ty nemas mezi trusted CA od Symantecu (Symantec Class 3 EV SSL CA - G3).

Skrill, PayPal, Neteller, všechny české co začínají na Pay jsou něco tak solidního jako bitcoinová burza. Skrill zabavuje například větší částky jako součást obživy, nějaká česká Pay cosi mě při platbě u obchodníka tajně zaregistrovala, nechala odsouhlasit podmínky, přiřadila kartu a veškeré údaje, aniž bych o tom věděl (jenom tím, že jsem zaplatil, jo někde na té stránce asi bylo miniokýnko se zatržítkem, předstírající že je něco jiného nebo smluvní podmíky typu "souhlasím s anální penetrací").

PayPal pro ČR dvoufázovou autentifikaci přes SMS podporuje. Sám používám.

To neověřuje nikdo. Ale dát pravdivou odpověď na otázku je blbost, co napadne jen bosobotka! Správný postup je zvolit Jméno matky za svobodna a odpověď Tram3DoBranika :-)

tohle mluvi za vse, ani https nemaji ok :D http://prntscr.com/9p2mjo

Zvláštní. Mám SMS 2FA autorizaci. Účet jsem zakládal z ČR, česká debetka, český mobil. Ale v tom novém looku nevidím, že by to šlo někde nastavit (a tedy ani odnastavit :-) ).

Díky! V nastavení jsem našel a hned nastavil SMS autorizaci (česká platební karta i tel. číslo). Takže "Currently this is only available in 6 countries. US, CA, UK, DE, AT and AU", viz příspěvek výše, asi tak úplně neplatí.

to me taky napadlo, ze to je jen u mne, ale zkousel sem na jinem kompu a to same... Ma tam jeste nekdo ten blueboard?

haze mi to tohle http://prntscr.com/9ptu4v a do 30 vyprsel casovy limit

V článku je popsaný útok na PayPal účet pomocí resetování hesla, to pak nesouhlasí s tím, že se dotyčný přihlásil na účet i poprvé, což by samozřejmě nešlo, protože heslo by bylo už jiné. Při resetování hesla se pošle security code na email při registraci PayPaylu.

nevypadá to na první pohled špatně, telia.net je ta správná trasa, kudy by měly jít data, měl jsi to ale nechat doběhnout, musí se tam objevit paypal.com.

Je to btw vážný problém, zkus jiný prohlížeč a jiné připojení v internetu. Odněkud se ti tam dostává špatný certifikát a to není dobře.

Super. Ďakujem za návod.

To musíme být příbuzní, moje máma se taky tak jmenovala.

PayPal v tom ale není sám.

Mám zkušenost s někým jiným, konkrétně Wüstenrot hypoteční bankou. Jejich přístup k citlivým údajům klientů:

1) Online portál používá jako heslo PIN kód, 4 číslice. User name je číslo účtu před lomítkem. Ani jedno nejde změnit.
2) Login jde získat stopením jakékoliv obálky na adresu uživatele, z výpisu účtu, ze kterýho se hypotéka splácí,...
3) PIN je poslán obyčejným dopisem. V záhlaví je číslo účtu.
4) Mám pocit, že je tam časová blokace na hádání PINu k účtu. Ale jak by obstála, kdyby se botnet zaměřil na jeden konkrétní PIN a hádal čísla účtů? Osmimístných čísel, dělitelných 11, zase tak moc není...

Workaround: Přesun hypotéky ke konkurenci. Vyřešilo to bezpečnost (autorizace heslo + certifikát + SMS) + nižší úroky.

Jojo, Skrill mi sebral postupně všechny prachy co jsem měl ještě z dob Moneybookers na měsíčních fees po změně podmínek, který možná někdy přišly do emailu ale jak to rozlišit od fishingových spammů.

Brian se bezpečnosti trochu věnuje nebo alespoň o ní píše. Co má, ale dělat běžný uživatel, když udělá vše co mu nařídí banka a stejně mu vykradou účet.

Tady někdo dlouhodobě dělá z normálních lidí hlupáky a přitom je problém hlavně úplně jinde než u uživatele!!

Zdračím od rána se nemůžu přihlásit k účtu heslo ani email jsme delší dobu neměnil ze začátku jsem si ho chtěl obnovit potvrzovací email prsel ale psalo ro ze nejsem v databázi a ted už to nejde vůbec poraďte co dělat krtecek71@gmail.com

A co že jsou poslední 4 číslice platební karty tak relevantní údaj o identitě? Když je to tak delikátní záležitost, jako online účet na peníze, tak by měli požadovat minimálně ofocení občanky a zaslání na email. No jo, každé zabezpečení stojí a spadá na nejslabším článku - na lidech.

Jo podporuje ,ale nyní mě přestali chodit a byl jsem v pr..li nemohl jsem se přihlásit k účtu.

Kde se dá dvoufázová autentizace nastavit ?

ale jak bylo v článku zmíněno, 2FA s jedním sms číslem pro všechny je také už docela rizikové. Už se pomalu začíná móda mít vlastní číslo pro každou takhle důležitou službu a k sobě si obsah doručovat jiným zabezpečeným kanálem, bohužel to zatím mobily moc nepodporují.

SMS při přihlášení lze nastavit všem, pokud ne, tak postup následující:
Zapnu paypal - dám summary - pak ozubené kolečko nahoře vedle logout (vidím adresy etc. a v modrém pruhu moje jméno s datem registrace) - kliknu edit vedle jména - a na stránce name change dám cancel...
No a to bude jeden ze způsobů jak se dostat k stránce kde máte v levém panelu 3 odkazy, tam už to najdete a aktivujete.
Mně nedávnou vykradli paypal, naštěstí mi to vyrefundovali, od té doby to mám na SMS a stejně nemám už přidanou ani kartu.

Settings -> security -> security key. Alespoň u mě na účtu.

Pravda, účet není veden jako český, ale rakouský, spárovaný s rakouskou kreditkou a rakouským telefonem. Někde jsem zahlédl, že 2FA podporují jen pro vybrané země, tak třeba mezi nimi ČR není.

"na výběr je město narození a dívčí jméno matky" - on PayPal spravnost zadavanych udaju nejak overuje :-)?

Idioti, ignoranti.

paypal je americká společnost, těžko bude mít blueboard.cz certifikát :). Každopádně tenhle problém nemohu potvrdit, neprojevil se na několika sítích, které jsem zkoušel.

Vše nasvědčuje MitM útoku, kdy někdo u tebe v cestě podvrhává certifikát, hoď sem traceroute, ať jde vidět přes koho data letí a jestli všichni jsou důvěryhodní. Zkus jiné připojení (třeba mobilní). Hoď sem ten konkrétní certifikát vč. jeho chainu.

Může to dělat tvůj pc, router, poskytovatel internetu nebo třetí osoba někde uprostřed.