Hola. Yo también veo eso. Hasta dónde sé no me hackearon pero WTF.Dev escribió: ↑22 Ene 2024 20:15Hola FFF. Gracias por el dato. Acá va la imagen: https://imgur.com/a/XEFVh8D
Recién hablé con una chica en el chat de asistencia de Payoneer y le comenté esto. Me dice que ella no ve esa imagen, pero que va a dejar asentado lo que le digo. Efectivamente me confirmó que la web www1.payoneer.com es safe, es la web en español de Payoneer.
Prueben ustedes tratando de bookmarkear esa web, a ver si les muestra esa imagen (muestra medio segundo el logo de Payoneer y luego cambia a la bandera de china).
Tengo el bookmark hace años, tanto para Payo como para prácticamente todo sitio que uso regularmente. Tengo bookmarkeado login.payoneer.com, que luego te redirige a una más larga pero podés acceder lo mismo. Usá esa si te place y que lo de la bandera china quede como misterio.
El atacante puede leer todos los SMS que te manda payo (no sabemos como, si es una vulnerabilidad de movistar o que). Ademas conoce tu email y número de teléfono:
fff escribió: ↑23 Ene 2024 20:12Post de payoneer: https://blog.payoneer.com/es/novedades/ ... -phishing/
No atribuyen el problema 100% al phishing y reconocen que la culpa no fue del usuario. Ademas prometen apoyar a sus usuarios. Aunque no reconcen del todo que el proceso para resetear passwords era muy insegura, dejando los fondos de sus usuarios desprotegidos, a un SMS de distancia.
El atacante puede leer todos los SMS que te manda payo (no sabemos como, si es una vulnerabilidad de movistar o que). Ademas conoce tu email y número de teléfono:
1. El atacante ingresa a "Olvide contraseña" de payoneer. Esta pagina le pidía que ingrese el email y numero teléfono. A los pocos segundos a vos te llegaba un SMS con un código, pero el atacante tambien lo podía ver. El atacante ingresa ese código y con eso te resetea la contraseña.
2. El atacante se loguea con mail y contraseña nueva y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
3. El atacante hace un pago a otra cuenta de payoneer y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
El punto 1 fue lo que se cambió la semana pasada. Ahora ya no se puede resetear la password con SMS. Es por esto que ya no aparecieron mas víctimas desde entonces.
Lo de desactivar el 2FA SMS es una farsa: al momento de hacer un pago, payoneer sí te manda la notificación push al teléfono pero podías decir "no me llego la notificación, enviame un SMS mejor". Basicamente, el 2FA por SMS no se podía desactivar. Me parece que esto es lo otro que cambiaron la semana pasada.
Los legales más que nada. Ni idea qué dicen los TyC -y en última instancia la ley- respecto a una situación como esta. Imaginaría que antes del comunicado habrán puesto a laburar a ese departamento para estar cubiertos.
Como bien decís, "para vos", es decir: según tu opinión. Lamentablemente para los afectados eso no pesa. Lógico que en el llano y en líneas generales estamos todos bastante de acuerdo con vos, pero eso tampoco pesa.
Aún con lo de los SMS siendo una re poronga, necesitás las dos condiciones que decís para que sea vulnerada la medida de seguridad: mail (que según ellos no lo obtuvieron de su lado, así que no hay responsabilidad ahí) e interceptar SMS (que, de nuevo, según ellos es tema de la telefónica).
Fijate que no sea lo que me pasó a mí, y era el filtro de spam del celular.
A mí tampoco me pasa. ¿Probaste con otros navegadores? Es muy raro...Dev escribió: ↑22 Ene 2024 20:15Hola FFF. Gracias por el dato. Acá va la imagen: https://imgur.com/a/XEFVh8D
No, no entendiste. Para que sea "en dos pasos" no es suficiente que sepas cuál es tu dirección de email, eso lo puede saber un tercero (que es lo que pasó), sino que pruebes que sos capaz de entrar a tu casilla de email. O sea, que hagas click en un link que te mandan o que copies un código enviado a tu email.Elio Pez escribió: ↑25 Ene 2024 15:16Aún con lo de los SMS siendo una re poronga, necesitás las dos condiciones que decís para que sea vulnerada la medida de seguridad: mail (que según ellos no lo obtuvieron de su lado, así que no hay responsabilidad ahí) e interceptar SMS (que, de nuevo, según ellos es tema de la telefónica).
Lo del 2FA es clarísimo, no hay discusión si tu 2FA bajo determinadas circunstancias es un 1FA.Payoargen escribió: ↑26 Ene 2024 09:47No, no entendiste. Para que sea "en dos pasos" no es suficiente que sepas cuál es tu dirección de email, eso lo puede saber un tercero (que es lo que pasó), sino que pruebes que sos capaz de entrar a tu casilla de email. O sea, que hagas click en un link que te mandan o que copies un código enviado a tu email.
Ellos lo hicieron solo con saber la dirección de email (que como dije, la puede saber cualquiera) y con el SMS (que pueden leer los empleados de las telco). No es así como funciona la seguridad en dos pasos.