Paypal 的網絡保安措施或許沒有想像中的好。外國有資訊保安專家表示,他的 Paypal 帳戶在平安夜兩度被黑客入侵,並試圖向一個已死的 ISIS 成員匯款。他認為事發原因不是他的密碼外泄,而是有人透過社交工程的手段斯騙 Paypal ,從而控制他的帳戶。
保安專家 Brian Krebs 於網誌講述事件經過。於平安夜早上,Paypal 透過電郵通知 Krebs ,說有新電郵帳戶加入他的帳戶。然而他沒有做過,於是馬上登入 Paypal ,並刪掉那個電郵和修改密碼。此外他就此致電 Paypal 客戶服務熱線,公司指他們會好好監視 Krebs 帳戶的可疑行為,並請他放心。
但二十分鐘後,他的帳戶又受到入侵,並被黑客取得控制。除此之外,他更指黑客涉嫌把他的錢匯至一個已被美軍炸死的伊斯蘭國成員 Junaid Hussain。他是一個黑客,專助伊斯蘭國在社交網站宣傳。
之後 Krebs 再次致電 Paypal。從通話中他得知黑客是透過電話向 Paypal 提出重設密碼的要求,而且方法很簡單,只需提供 Krebs 的社會保障號碼和舊信用卡編號的最後四位數字。由於 Krebs 早前已成為多個歹徒的入侵目標,他的資料已在網上公開。事實上他之前亦被不法分子抹黑過,指他在網上買海洛英。
最後 Krebs 認為假如公司只單憑地址、電話、信用卡號碼等資料來核實身分是很不安全,帳戶會容易受入侵。Paypal 的用戶驗證更十分落後,例如沒有提用戶提供手機認證功能。
Source : Washington Times ,The Register