me acaban de estafar en payoneer, me vaciaron el saldo en una transferencia y no me deja loguear

[fernihot22]

Listo. Ya no se puede resetar la password por SMS aparentemente, ya no debería haber mas casos. Solo queda esperar la devolución de los que ya fueron afectados.

Podes hacer la prueba: https://login.payoneer.com/forgotpassword

editado: veo que a varios les pasa como ami pero vi a algunos que todavía les sale hacerlo por SMS

No sé si aporte demasiado, capaz alguien más metido en el tema pueda tener una respuesta, pero hay algo que me resultó extraño a partir de todo lo que pasó y el link de recuperar contraseña.

Por suerte la plata que tenía estaba ahí. Aproveché y cambié mi mail y contraseña de Payoneer. Me metí acá a chusmear y vi este posteo y pensé "¿Qué onda si uso mi mail viejo para recuperar la contraseña?". Probé y me decía algo como que se había enviado la solicitud a un teléfono que no terminaba en un número que yo haya usado alguna vez. Me entró un toque de miedo y decidí probar ahora con el mail de mi novia, quien nunca tuvo cuenta en Payoneer y tuve el mismo resultado. Tomó como correcto el mail y apareció el mensaje de que se envió la solicitud a X número de teléfono.

¿No es un toque raro eso? ¿Puede tratarse de un error cuando se ingresa un mail que no está registrado? ¿Alguien probó hacerlo también?

Hasta no hace un par de horas atras, habian sacado toda "posibilidad" de hacer un recover pass a traves de SMS. Igualmente deberian sacarlo definitivamente, sino estamos todos con el culo entre las manos.

[Gastoneta]

Me metí acá a chusmear y vi este posteo y pensé "¿Qué onda si uso mi mail viejo para recuperar la contraseña?". Probé y me decía algo como que se había enviado la solicitud a un teléfono que no terminaba en un número que yo haya usado alguna vez. Me entró un toque de miedo y decidí probar ahora con el mail de mi novia, quien nunca tuvo cuenta en Payoneer y tuve el mismo resultado. Tomó como correcto el mail y apareció el mensaje de que se envió la solicitud a X número de teléfono.

¿No es un toque raro eso? ¿Puede tratarse de un error cuando se ingresa un mail que no está registrado? ¿Alguien probó hacerlo también?

Es para que no puedas averiguar si alguien random tiene payoneer, a menos que sepas su número. Basicamente si conoces el email y número de celular de una persona, podes averiguar si esa persona tiene payoneer con esos datos.

Ahhh buenísimo. Me quedo más tranqui. Gracias por la respuesta.

[tifina]

Acabo de probar la opcion de si olvidaste tu contraseña, y me mandó un correo directamente. No me dio opcion de hacerlo por SMS. Entiendo que ya no deberian haber casos... Esperemos!!

[emilioemilio]

Buenas!, por suerte no fui afectado, pero parece que desde Movistar comenzaron a lavarse las manos

https://twitter.com/Telefonica_Ar/statu ... 6996345931

[gabuvi7]

Buenas!, por suerte no fui afectado, pero parece que desde Movistar comenzaron a lavarse las manos

https://twitter.com/Telefonica_Ar/statu ... 6996345931

lamentablemente va a ser asi. se van a tirar la pelota de un lado para el otro. Ayer llame por telefono por unas dudas que tenia, porque ademas de sacarme todo el dinero me pidieron un crédito de capital advance, y me comentaron que el caso puede tardar 30 dias habiles en resolverse. En el primer reclamo me dijeron 20.. Es vergonzoso como se estan manejando. Pero bueno, no queda otra que esperar

[rillkru]

Buenas!, por suerte no fui afectado, pero parece que desde Movistar comenzaron a lavarse las manos

https://twitter.com/Telefonica_Ar/statu ... 6996345931

Es que Movistar no tiene la culpa de que los hijos de puta de payoneer fuercen la recuperación de la contraseña vía SMS. Si que te puedan interceptar los mensajes o que no te obliguen a cambiar la contraseña del buzón de vos, pero no se van a hacer cargo

[Fernando Niembro]

Hackearon una billetera digital y vaciaron cuentas en dólares de usuarios argentinos

Infobae

https://www.infobae.com/economia/2024/0 ... rgentinos/

[lele]

Buenas, me sumo como un damnificado más.
Puedo asegurar que no fue un pishing. No puse mis credenciales en ningún lado. Días previos recibí los sms de estafa que los eliminé inmediatamente.

Tengo Movistar.
Accedieron a los códigos en los SMS. Cambiaron la contraseña y entraron y transfirieron. Con saber mail y telefono les fue suficiente.

Desde Payoneer ya me habilitaron la cuenta y tarjeta previo a cambio de mail y reseteo de seguridad.
Respecto a la transferencia dicen que "están trabajando para restablecer los fondos" y que el departamento necesita hasta 10 días hábiles. Pueden extenderlo y avisan. Los que te atienden el teléfono no tienen información de nada, muy básico y esperable.

[Fernando Niembro]

Acabo de entrar en mi cuenta, y ahora figura este aviso:



Mas alla de que se quieren lavar las manos insinuando que fue pishing, al menos desactivaron la validacion via SMS para frenar nuevos ataques

[fff]

Si es cierto que hubo casos de phishing, pero son muy poquitos. Ya con el horario en el que se hicieron las transferencias te das cuenta. Los de esta semana, ninguno fue por phishing. De hecho, creo que nadie reporto mensajes phishing esta semana, solo la semana pasada. De hecho, esos links dejaron de funcionar a los pocos días. Lo sé porque yo quise entrar a chusmear (sabiendo que era phishing).

Creo que hay un mal enfoque, el problema no es el 2FA. El 2FA por sms, si bien esta mal, no está tan mal. La idea del 2FA es que para terminar de vulnerar la cuenta tengas que pasar por 2 capas de seguridad (passoword + SMS, o email + SMS). Lo problematico acá es como estaba funcionando el https://login.payoneer.com/forgotpassword que solo necesitabas vulnerar el sistema de SMS para cambiar la contraseña y tener acceso total a la cuenta. Una capa de seguridad rota = control total de los fondos.

Desde que arreglaron el https://login.payoneer.com/forgotpassword hace pocos días para que no se pueda hacerlo por SMS, ahora sí se parece mas a 2FA. Ahora el atacante necesita, no solo vulnerar el sistema de SMS (de la forma que sea), sinó tambien la cuenta de email (que no es imposible, pero ya no estaríamos hablando de +20 personas afectadas en una misma semana).

Está tambien la nota de clarin: https://www.clarin.com/tecnologia/vacia ... moQVQ.html

[neerusr]

La Nación también publicó una nota: https://www.lanacion.com.ar/economia/ne ... d19012024/

[gabuvi7]

Si es cierto que hubo casos de phishing, pero son muy poquitos. Ya con el horario en el que se hicieron las transferencias te das cuenta. Los de esta semana, ninguno fue por phishing. De hecho, creo que nadie reporto mensajes phishing esta semana, solo la semana pasada. De hecho, esos links dejaron de funcionar a los pocos días. Lo sé porque yo quise entrar a chusmear (sabiendo que era phishing).

Creo que hay un mal enfoque, el problema no es el 2FA. El 2FA por sms, si bien esta mal, no está tan mal. La idea del 2FA es que para terminar de vulnerar la cuenta tengas que pasar por 2 capas de seguridad (passoword + SMS, o email + SMS). Lo problematico acá es como estaba funcionando el https://login.payoneer.com/forgotpassword que solo necesitabas vulnerar el sistema de SMS para cambiar la contraseña y tener acceso total a la cuenta. Una capa de seguridad rota = control total de los fondos.

Desde que arreglaron el https://login.payoneer.com/forgotpassword hace pocos días para que no se pueda hacerlo por SMS, ahora sí se parece mas a 2FA. Ahora el atacante necesita, no solo vulnerar el sistema de SMS (de la forma que sea), sinó tambien la cuenta de email (que no es imposible, pero ya no estaríamos hablando de +20 personas afectadas en una misma semana).

Está tambien la nota de clarin: https://www.clarin.com/tecnologia/vacia ... moQVQ.html

exacto. Y hay que sumarle que no te dejan tener cualquier otra app de autenticacion, como google auth, authy, etc.
Espero que devuelvan el dinero a todos, ya dan una pésima imágen con lo que pasó, supongo que no querrán empeorarla.
Ya pasó una semana y aun estoy a la espera que me restablezcan la cuenta.. :/ pero bueno, paciencia no?

[quegede]

volvieron los SMS y con pagina nueva...

[Fernando Niembro]

jajaj que hdps

[fff]

Solo te deja llenar el mail. Claramente solamente necesitan mapear mas numeros de telefono con email. Basicamente se les acabaron las victimas.

Mientras el https://login.payoneer.com/forgotpassword sea por mail no pueden hacer mas nada, a menos que tengan pensado hacer la misma con gmail o icloud.





nota: el ?id=xxxx lo cambié por uno cualquiera y puse cualquier mail