Nel mondo dei pagamenti elettronici ci sono decine di sistemi di pagamento su cui nutro dubbi riguardo al lato sicurezza, ma sono usati da tutti, quindi adeguandosi alla corrente li si adopera.
Uno di questi sistemi è PayPal, che uso dal 2005. Mai avuto un problema, ma ieri sera...
Stavo andando al lavoro, quando ho ricevuto una notifica dall'app della C/C: "Hai dato un pacco di soldi a JustEat". Ohibò, eppure abbiamo appena finito di cenare e i computer di casa sono tutti spenti! Apro JustEat e non trovo nessun ordine recente. Controllo anche PayPal (che uso di solito per pagare JustEat), e lì ci trovo la transazione "pagamento automatico".
Visualizzo i dettagli e scopro un ordine fatto (non dal mio account JustEat) a un ristorante mai sentito (secondo Google è a Roma, io sto a Bologna...). Queste transazioni dovrebbero essere verificate tramite "Dispositivo registrato", quindi controllo l'elenco dei dispositivi registrati e non trovo niente di anormale. Apro un contenzioso con PayPal, e il 23/9 mi rispondono così:
"Abbiamo completato la revisione della tua pratica e stabilito che non si è verificato nessun uso non autorizzato del tuo conto PayPal." E qui PayPal chiude la discussione, su quella transazione non posso più opporre alcuna obiezione. Parlare con un umano è una cosa "da fantascienza".
A questo punto controllo l'account JustEat di mia moglie e scopro che non è accessibile e nemmeno il recupero password funziona. Deduco che qualcuno ha trovato la combinazione email/password e preso il controllo dell'account, da lì hanno ordinato e mangiato a spese mie. Su quel conto si poteva ordinare e pagare con il mio PayPal, ma in teoria solo dal browser "riconosciuto", cioè quello del suo PC.
Quindi, se secondo PayPal non c'è niente di non autorizzato (notare la doppia negazione), significa che una volta entrati in possesso dell'account JustEat, che facciano un click da un browser o da un altro non fa differenza. Quindi la spiegazione "Un dispositivo registrato è un browser web o mobile personale o un dispositivo mobile utilizzato per accedere al tuo conto PayPal che viene ricordato da PayPal in seguito alla conferma della tua identità" è completamente farlocca.
Se PayPal ha accettato un pagamento senza chiedere la password (che ha la 2FA), significa che ha verificato che l'utente che ha fatto il pagamento lo ha fatto da un dispositivo riconosciuto e autorizzato a effettuare un pagamento senza verifiche d'identità.
Ora, per esclusione, l'unico dispositivo in funzione in quel momento era il mio smartphone. PayPal non fornisce informazioni su quale dispositivo ci fosse dietro l'ordine, ma escludo il mio smartphone, dato che non è stato usato il mio account JustEat, a meno che non abbiano immesso le credenziali rubate in JustEat nell'app per smartphone, e che l'app sia sempre "riconosciuto", anche se di fatto non lo è (in PayPal compare un "sanders_n", ma credo sia l'app di PayPal).
A questo punto ci siamo rivolti a JustEat che dopo qualche giorno ha riconosciuto l'uso improprio dell'account di mia moglie, lo ha cancellato e ci ha stornato l'addebito.
Però ora mi viene da pensare che l'anello debole sia anche JustEat, che non ha un accesso con 2FA... Ma i siti che accettano PayPal e non hanno una verifica 2FA sono tanti...
Per iniziare, ho tolto il pagamento automatico da tutti i siti...