PayPal позволяет обходить 2FA нажатием одной кнопки — и утверждает: «Это сделано для вашей защиты»
Сегодня утром меня разбудили неожиданные SMS
Кажется, я поделился своим кодом.
Странно. Не припоминаю, чтобы я пользовался PayPal во сне. Однако такое происходит. Кто-то периодически вводит ваш email на сайте и нажимает «Forgot password».
Одноразовый код отправляется на вашу почту и остаётся погребённым там на веки вечные, так как у хакера (или у человека, который ошибся при вводе) нет доступа к другой информации, которой владею я. Едва ли они получат мой пароль, так как он представляет собой случайно сгенерированную последовательность из 12 или более символов.
«Я просто включаю двухфакторную аутентификацию при помощи Authenticator и больше не парюсь, что мой PayPal могут когда-нибудь взломать».
Но, как оказалось, даже включение 2FA в PayPal не мешает никому входить в ваш аккаунт, имея лишь мой email и код из SMS. Никакой пароль для этого не требуется.
Так оно и есть. От очень большого ума PayPal (NASDAQ: PYPL) реализовал мегаудобный метод входа, для которого не нужно вспоминать этот противный пароль.
Этот метод называется «вход по одноразовому коду». И он ужасен.
Кнопка «Log in with a one-time code» появляется на экране, как только введён адрес электронной почты, к которому привязан ваш аккаунт в PayPal.
Мы все ненавидим пароли, верно? Их легко отгадать, трудно запомнить, и, если мы упраздним их в ближайшем будущем, может быть, этот мир станет лучше. Поэтому PayPal — банковское приложение — предложило способ доступа к аккаунту без ввода пароля при помощи одноразового кода.
И это выглядит очень удобным для каждого, кто не любит ломать голову над поиском своего же пароля. Многие сайты, такие как Slack, Cash App и даже Medium, разрешают вход по одноразовому коду, который приходит на email. Мне же совсем не нравится, что у моих банковских приложений есть такая функция, особенно когда для отправки кода используются SMS, которые очень легко перехватить при помощи переноса номера. Что же, давайте тогда просто отключим эту функцию, чтобы всегда входить в систему с паролем и кодом приложения-аутентификатора.
Но сделать этого мы не сможем.
Эта маленькая кнопка «Log in with a one-time code» присутствует всегда. Для всех и каждого. Она всё время находится прямо под кнопкой «Log In» (если, конечно, вы на сайте PayPal.com, а не в приложении PayPal). Любой желающий войти в ваш аккаунт без пароля может это сделать, даже если вы установили 2FA.
Последнее утверждение очень важно, и его нужно чётко повторить:
Кнопка «Log in with a one-time code» позволяет обойти любые другие меры безопасности, которые могут быть установлены на вашем аккаунте, включая двухфакторную аутентификацию.
Таким образом, установили ли вы на ваш аккаунт PayPal 2FA, скажем, с помощью приложения Google Authenticator или USB-ключа безопасности, не имеет значения. Кнопка «Log in with a one-time code» (эту кнопку следовало бы назвать «а я и так войду») использует совершенно другой путь аутентификации, который обходит обычные пути через пароль или пароль и токен. Это совершенно отдельный путь, требующий только одноразового SMS-кода, который, как уже неоднократно доказано, является небезопасным и легко взламываемым.
Что же это за чертовщина? Такой банковский гигант, как PayPal, просто не мог чем-нибудь не оправдать её существование, не так ли?
А вот и нет! PayPal вообще ничего не говорит об этом, кроме того, что «эта функция постоянно включена для защиты наших клиентов».
На форумах paypal-community.com пользователь с ником Only1KW 1 ноября 2021 года создал ветку под названием «How do I disable one-time codes» («Как мне деактивировать одноразовые коды»).
В обсуждении этой ветки Only1KW негодует по поводу функции одноразового кода и спрашивает, как её отключить, чтобы для входа всегда использовался пароль. В следующих ниже ответах модераторы форума PayPal пытаются «найти решение». По сути, они то предлагают решение другой проблемы, а то и вовсе ничего не предлагают.
Модератор PayPal_Natasha заявляет, что коды в SMS активны всегда якобы для «защиты» клиентов.
Ветка продолжается ещё на несколько страниц вперёд и полна недовольными отзывами клиентов, которые говорят, что, если эта функция и призвана защищать клиентов, результат получается обратным. Показанный выше ответ PayPal_Natasha является последним ответом модератора PayPal в этой ветке.
Хотя одноразовые коды распространены среди самых разных сайтов и приложений, они всегда сопровождаются другим фактором аутентификации, если этого желает пользователь. И, хотя вы можете войти в Slack или Cash App по одному email или SMS-коду, включение двухфакторной аутентификации в любом из этих приложений означает, что теперь требуется и второй фактор аутентификации. В случае PayPal это остаётся лишь предложением.
Если посмотреть на вкладку «Security» (Безопасность) в настройках PayPal, то неудивительно, что и пользователи, и сотрудники службы поддержки путаются в различных настройках безопасности.
Вкладка «Security» в настройках аккаунта PayPal.
Помимо обычных настроек безопасности, таких как смена пароля, включение двухэтапной аутентификации и управления устройствами, на которых вы зарегистрированы, PayPal также имеет четыре дополнительные настройки безопасности. Ни одна из них не включает и не отключает вход по одноразовым кодам. На самом деле можно смело утверждать, что все эти дополнительные настройки только предоставляют дополнительные способы несанкционированного доступа к вашему счёту на PayPal. Ни для кого не секрет, что все эти «вопросы безопасности» неэффективны и легко угадываются, а вот зачем на самом деле нужны два разных типа PIN-кодов, вряд ли кто-то знает.
Включение 2FA на PayPal никому не помешает войти в ваш аккаунт лишь по email и SMS-коду.
«У моей подруги реально взломали симку и с ней вошли на её PayPal, — пишет пользовательница Mmcgo1 [прим. перев. — её зовут Mary McGowen]. — Поэтому я свои банковские счета с PayPal удалила».
«Если мой телефон украдут, они смогут сразу же покупать через PayPal, даже не зная моего пароля, или пропустить экран аутентификации, поскольку эти одноразовые текстовые уведомления появляются прямо на экране блокировки. Кому это может упростить жизнь, кроме возможных мошенников?» — возмущается пользователь adampcompton. И он прав — большинство iPhone и смартфонов на Android по умолчанию отображают фактическое содержимое ваших сообщений на экране блокировки. Я настоятельно рекомендую отключить эту функцию в настройках телефона.
PayPal должен требовать двухфакторную аутентификацию на всех счетах, где пользователи её установили. Возможность входа в систему по одноразовым кодам должна как минимум допускать дополнение вторым фактором аутентификации, таким как вопрос безопасности или PIN-код. Разрешение входа с одним небезопасным фактором аутентификации, когда пользователи настроили 2FA на своих счетах, — опасный и безответственный подход, за который ни в чём не повинным людям приходится расплачиваться своими деньгами.
Единственным средством защиты от этого является закрытие счёта на PayPal.