Muita gente usa contas PayPal para processar pagamentos online pelo fato de o serviço oferecer gratuitamente um nível a mais proteção contra cibercriminosos. Afinal, digitar os dados do seu cartão em qualquer site é uma prática nada recomendada. Contudo, Brian Krebs, especialista em segurança virtual, constatou da pior forma como é simples hackear uma conta PayPal.

Na véspera de Natal de 2015, ele (que é visado por hackers por revelar com frequência práticas criminosas em seu blog) teve sua conta sequestrada duas vezes seguidas, e pela mesma pessoa. Na primeira oportunidade, ele recebeu um email da PayPal dizendo que “seu novo email tinha sido adicionado com sucesso”. Imediatamente, ele logou em sua conta para remover o email suspeito e mudar sua senha.

Logo em seguida, ligou para a empresa para saber como o hacker tinha conseguido acesso à sua conta tão discretamente. A atendente disse que o novo email tinha sido inserido via telefone por uma pessoa com o número do “CPF” (SSN nos EUA) dele e com os quatro últimos dígitos de um cartão de crédito antigo cadastrado na conta.

Ele ainda protestou contra as políticas de segurança da empresa para a atendente, mas ela disse apenas que a conta dele ficaria “sob vigilância” para caso algum ataque do tipo fosse tentado novamente.

O segundo ataque

Alguns minutos depois, quando ele saiu para se exercitar, checou novamente sua caixa de entrada e viu mais uma notificação da PayPal dizendo que um “novo email tinha sido adicionado à sua conta”. Por “coincidência”, era o mesmo endereço do ataque anterior. Como ele demorou a chegar em casa para acessar sua conta, fazer a remoção e mudar a senha novamente, o hacker já tinha conseguido fazer tudo isso por ele.

O hacker tinha ligado novamente para a PayPal, adicionado seu próprio email na conta da mesma forma que antes e, em seguida, pediu para recuperar a senha pelo site e receber o código de confirmação no novo endereço cadastrado. Com isso, o criminoso mudou a senha, removeu o número de celular cadastrado na conta, assim como o email original de Krebs. Ou seja, Krebs ficou completamente sem acesso e sem uma forma de recuperar sua senha.

Ligando novamente para a empresa, a atendente pediu que ele enviasse uma fotocópia de sua carteira de motorista para verificação, mas, nos EUA, esse documento é bem simples de ser falsificado. Krebs pediu para a moça autenticar sua identidade na conta através do celular, mas ela informou que a companhia não tinha como fazer isso.

Terrorismo

A conta só foi definitivamente bloqueada quando o hacker tentou fazer uma transferência de dinheiro para outra conta PayPal anteriormente atribuída a um terrorista de 17 anos do Estado Islâmico, que teria morrido em um ataque aéreo dos EUA recentemente.

No fim da situação toda, A PayPal concedeu acesso a Krebs novamente, mas ele escreveu em seu blog que, caso a empresa não melhore seus procedimentos de segurança, “ela vai continuar expondo seus usuários desnecessariamente a ameaças de privacidade e segurança”.

A resposta

Após o site BGR publicar o relato de Krebs, a PayPal emitiu uma nota:

A segurança das contas, dados e dinheiro de nossos clientes é a maior prioridade da PayPal. Por conta das nossas politicas de privacidade que protegem nossos clientes, a PayPal não comenta ou revela detalhes sobre casos específicos. Contudo, parece que nossos procedimentos padrões não foram seguidos nesse caso. Enquanto o dinheiro continua em segurança, nós pedidos desculpas pelo fato de essa situação inaceitável ter acontecido e estamos revisando a questão para prevenir que algo assim aconteça novamente.

Você usa a PayPal para fazer pagamentos com frequência? Comente no Fórum do TecMundo