Hola. Yo también veo eso. Hasta dónde sé no me hackearon pero WTF.Dev escribió: ↑22 Ene 2024 20:15Hola FFF. Gracias por el dato. Acá va la imagen: https://imgur.com/a/XEFVh8D
Recién hablé con una chica en el chat de asistencia de Payoneer y le comenté esto. Me dice que ella no ve esa imagen, pero que va a dejar asentado lo que le digo. Efectivamente me confirmó que la web www1.payoneer.com es safe, es la web en español de Payoneer.
Prueben ustedes tratando de bookmarkear esa web, a ver si les muestra esa imagen (muestra medio segundo el logo de Payoneer y luego cambia a la bandera de china).
Tengo el bookmark hace años, tanto para Payo como para prácticamente todo sitio que uso regularmente. Tengo bookmarkeado login.payoneer.com, que luego te redirige a una más larga pero podés acceder lo mismo. Usá esa si te place y que lo de la bandera china quede como misterio.
¡Abrazo!
Por amor de Dios, leé las FAQ.
Post de payoneer: https://blog.payoneer.com/es/novedades/ ... -phishing/
No atribuyen el problema 100% al phishing y reconocen que la culpa no fue del usuario. Ademas prometen apoyar a sus usuarios. Aunque no reconcen del todo que el proceso para resetear passwords era muy insegura, dejando los fondos de sus usuarios desprotegidos, a un SMS de distancia.
1. El atacante ingresa a "Olvide contraseña" de payoneer. Esta pagina le pidía que ingrese el email y numero teléfono. A los pocos segundos a vos te llegaba un SMS con un código, pero el atacante tambien lo podía ver. El atacante ingresa ese código y con eso te resetea la contraseña.
2. El atacante se loguea con mail y contraseña nueva y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
3. El atacante hace un pago a otra cuenta de payoneer y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
El punto 1 fue lo que se cambió la semana pasada. Ahora ya no se puede resetear la password con SMS. Es por esto que ya no aparecieron mas víctimas desde entonces.
Lo de desactivar el 2FA SMS es una farsa: al momento de hacer un pago, payoneer sí te manda la notificación push al teléfono pero podías decir "no me llego la notificación, enviame un SMS mejor". Basicamente, el 2FA por SMS no se podía desactivar. Me parece que esto es lo otro que cambiaron la semana pasada.
No atribuyen el problema 100% al phishing y reconocen que la culpa no fue del usuario. Ademas prometen apoyar a sus usuarios. Aunque no reconcen del todo que el proceso para resetear passwords era muy insegura, dejando los fondos de sus usuarios desprotegidos, a un SMS de distancia.
El atacante puede leer todos los SMS que te manda payo (no sabemos como, si es una vulnerabilidad de movistar o que). Ademas conoce tu email y número de teléfono:
1. El atacante ingresa a "Olvide contraseña" de payoneer. Esta pagina le pidía que ingrese el email y numero teléfono. A los pocos segundos a vos te llegaba un SMS con un código, pero el atacante tambien lo podía ver. El atacante ingresa ese código y con eso te resetea la contraseña.
2. El atacante se loguea con mail y contraseña nueva y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
3. El atacante hace un pago a otra cuenta de payoneer y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
El punto 1 fue lo que se cambió la semana pasada. Ahora ya no se puede resetear la password con SMS. Es por esto que ya no aparecieron mas víctimas desde entonces.
Lo de desactivar el 2FA SMS es una farsa: al momento de hacer un pago, payoneer sí te manda la notificación push al teléfono pero podías decir "no me llego la notificación, enviame un SMS mejor". Basicamente, el 2FA por SMS no se podía desactivar. Me parece que esto es lo otro que cambiaron la semana pasada.
Hoy estuve tratando de loguearme y no me llegó ningún sms todavía. la llamada sí me llegó, pero se corta, no me sirve.
Por eso preguntaba, no sabía si estaba desactivado. me da un cagaso padre.
Por eso preguntaba, no sabía si estaba desactivado. me da un cagaso padre.
fff escribió: ↑23 Ene 2024 20:12Post de payoneer: https://blog.payoneer.com/es/novedades/ ... -phishing/
No atribuyen el problema 100% al phishing y reconocen que la culpa no fue del usuario. Ademas prometen apoyar a sus usuarios. Aunque no reconcen del todo que el proceso para resetear passwords era muy insegura, dejando los fondos de sus usuarios desprotegidos, a un SMS de distancia.
El atacante puede leer todos los SMS que te manda payo (no sabemos como, si es una vulnerabilidad de movistar o que). Ademas conoce tu email y número de teléfono:
1. El atacante ingresa a "Olvide contraseña" de payoneer. Esta pagina le pidía que ingrese el email y numero teléfono. A los pocos segundos a vos te llegaba un SMS con un código, pero el atacante tambien lo podía ver. El atacante ingresa ese código y con eso te resetea la contraseña.
2. El atacante se loguea con mail y contraseña nueva y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
3. El atacante hace un pago a otra cuenta de payoneer y como puede leer tus SMS, puede saltarse el 2FA fácilmente.
El punto 1 fue lo que se cambió la semana pasada. Ahora ya no se puede resetear la password con SMS. Es por esto que ya no aparecieron mas víctimas desde entonces.
Lo de desactivar el 2FA SMS es una farsa: al momento de hacer un pago, payoneer sí te manda la notificación push al teléfono pero podías decir "no me llego la notificación, enviame un SMS mejor". Basicamente, el 2FA por SMS no se podía desactivar. Me parece que esto es lo otro que cambiaron la semana pasada.
Te fijaste si los SMS están en la carpeta de SPAM? Como hubo tantos mensajes phishing desde el mismo nro que usa payoneer seguramente google los marca como spam. Fijate este post:
https://mipayo.com/foro/viewtopic.php?p=55380#p55380
https://mipayo.com/foro/viewtopic.php?p=55380#p55380
Repito, para mí el tema ya quedó claro: fue responsabilidad de Payoneer, porque en lugar de hacer la verificación en dos pasos hicieron la verificación con solo el segundo paso, que sería por SMS, dejando así el sistema totalmente vulnerable.
¿Por qué vulnerable? Porque de esa manera un empleado de la compañía de celular que pudiera leer los SMS que te llegan, si además de leer tus SMS sabe tu email, ¡BINGO! Puede acceder a tu cuenta de Payoneer.
Y se ve que eso pasó con Movistar.
¿Qué parte no estaría clara? (Porque veo que siguen deliberando y dudando sobre qué pasó)
¿Por qué vulnerable? Porque de esa manera un empleado de la compañía de celular que pudiera leer los SMS que te llegan, si además de leer tus SMS sabe tu email, ¡BINGO! Puede acceder a tu cuenta de Payoneer.
Y se ve que eso pasó con Movistar.
¿Qué parte no estaría clara? (Porque veo que siguen deliberando y dudando sobre qué pasó)
Arranco por el final como para que se entienda el espíritu y no se lea el mensaje de modo parcial
Que a mi, a vos o a medio foro le parezca un sistema completamente poronga no tiene impacto en un carajo para los afectados. A lo sumo perderán un puñado de clientes, pero siendo que ya lo patchearon, no te extrañe que la inmensa mayoría siga usándola (sin ir más lejos, eso haré). La realidad es que tampoco tenés tantas alternativas y no por apenarme/enojarme/bla la situación de un tercero voy a rearmar mi circuito para cobros si ya no corro ese riesgo. Si querés te miento, pero funciona así.
Los legales más que nada. Ni idea qué dicen los TyC -y en última instancia la ley- respecto a una situación como esta. Imaginaría que antes del comunicado habrán puesto a laburar a ese departamento para estar cubiertos.
Como bien decís, "para vos", es decir: según tu opinión. Lamentablemente para los afectados eso no pesa. Lógico que en el llano y en líneas generales estamos todos bastante de acuerdo con vos, pero eso tampoco pesa.
Aún con lo de los SMS siendo una re poronga, necesitás las dos condiciones que decís para que sea vulnerada la medida de seguridad: mail (que según ellos no lo obtuvieron de su lado, así que no hay responsabilidad ahí) e interceptar SMS (que, de nuevo, según ellos es tema de la telefónica).
Que a mi, a vos o a medio foro le parezca un sistema completamente poronga no tiene impacto en un carajo para los afectados. A lo sumo perderán un puñado de clientes, pero siendo que ya lo patchearon, no te extrañe que la inmensa mayoría siga usándola (sin ir más lejos, eso haré). La realidad es que tampoco tenés tantas alternativas y no por apenarme/enojarme/bla la situación de un tercero voy a rearmar mi circuito para cobros si ya no corro ese riesgo. Si querés te miento, pero funciona así.
Por amor de Dios, leé las FAQ.
Fijate que no sea lo que me pasó a mí, y era el filtro de spam del celular.
A mí tampoco me pasa. ¿Probaste con otros navegadores? Es muy raro...Dev escribió: ↑22 Ene 2024 20:15Hola FFF. Gracias por el dato. Acá va la imagen: https://imgur.com/a/XEFVh8D
Igual al pedo guardar ésa, la de login es la que importa.
No, no entendiste. Para que sea "en dos pasos" no es suficiente que sepas cuál es tu dirección de email, eso lo puede saber un tercero (que es lo que pasó), sino que pruebes que sos capaz de entrar a tu casilla de email. O sea, que hagas click en un link que te mandan o que copies un código enviado a tu email.Elio Pez escribió: ↑25 Ene 2024 15:16Aún con lo de los SMS siendo una re poronga, necesitás las dos condiciones que decís para que sea vulnerada la medida de seguridad: mail (que según ellos no lo obtuvieron de su lado, así que no hay responsabilidad ahí) e interceptar SMS (que, de nuevo, según ellos es tema de la telefónica).
Ellos lo hicieron solo con saber la dirección de email (que como dije, la puede saber cualquiera) y con el SMS (que pueden leer los empleados de las telco). No es así como funciona la seguridad en dos pasos.
Lo del 2FA es clarísimo, no hay discusión si tu 2FA bajo determinadas circunstancias es un 1FA.Payoargen escribió: ↑26 Ene 2024 09:47No, no entendiste. Para que sea "en dos pasos" no es suficiente que sepas cuál es tu dirección de email, eso lo puede saber un tercero (que es lo que pasó), sino que pruebes que sos capaz de entrar a tu casilla de email. O sea, que hagas click en un link que te mandan o que copies un código enviado a tu email.
Ellos lo hicieron solo con saber la dirección de email (que como dije, la puede saber cualquiera) y con el SMS (que pueden leer los empleados de las telco). No es así como funciona la seguridad en dos pasos.
Yo lo que te digo es que vos hablás de la obvia (según vos) responsabilidad de la empresa, cuando desde el vamos si no les vulneraron la base de datos no veo cómo es responsabilidad de ellos que alguien sepa tus credenciales, 2FA o no. Nadie nos obliga a hacer público el mail que usamos como credencial para loguearnos a la cuenta. A ver, lo entiendo: lo hacemos todos, es sencillo gestionar desde una sola casilla, es una payasada armar una casilla para cada cosa, absolutamente ningún sitio te pide esto, es una gansada implementar un Authenticator y ahorrarte la molestia... hay mil etcs razonables. Aún así, es la primera excusa que te van a poner (ya lo hicieron) y tengo mis serias dudas de que no valga ponerla. Sin el dato del mail la jodita esta no podían hacerla de ninguna manera.
¿Tenían un 2FA vulnerable? Sí, recontra, virtualmente inexistente, una poronga total. ¿Podían chorearse la guita sin saber tu mail? No. ¿Se les filtró a ellos el mail? Dicen que no. ¿Les interceptaron a ellos los SMS? Dicen que no.
Como te digo: desconozco los legales, no sé si hay suficiente para reclamar por, no sé, ¿publicidad engañosa de un 2FA que no es 2FA? En el barrio es para ir a cagarlos a piñas sin mediar palabra, en un juzgado realmente no lo sé.
Por amor de Dios, leé las FAQ.
Disculpen pero capaz el problema más grande es otro. A ver hasta no hace mucho para mandar 100 usd a otra cuenta me llegaba un mail diciendo que habían recibido mi solicitud y la estaban evaluando. Y no solía ser inmedita. Entiendo que para 100usd es un fastidio pero si una cuenta que solo recibe de repente manda 60k, eso tiene que saltar, tiene que ir al mail, no sé si es necesario que sea inmediata. Es más podrían tomarse unas horas para evaluarlo, ya con eso se evitaba todo esto.
No recuerdo haber leído que hubo ese envio de notificaciones y tiempos, por lo que dicen fue inmediato. Otras plataformas para algo así me parece que te mandan la verificación al mail como para rechequear que seas vos.
No recuerdo haber leído que hubo ese envio de notificaciones y tiempos, por lo que dicen fue inmediato. Otras plataformas para algo así me parece que te mandan la verificación al mail como para rechequear que seas vos.