Qualche giorno fa, leggo che un mio amico ha dei problemi per un accesso abusivo al suo account Paypal.
Bè, in effetti, negli account Paypal (specie in quelli business) ci possono essere un po’ di soldini, possono essere collegate delle carte di credito, possono essere associati dei conti correnti, è opportuno verificarne la sicurezza.
Avendo io stesso un account personale ed un account business, mi preoccupo di verificare lo stato di sicurezza di entrambi e quali opzioni Paypal mette a disposizione per la sicurezza dei suoi clienti.
Quindi entro nell’account personale, vedo che avevo già associato il mio cellulare all’account, attivato l’autenticazione multipla (SMS con OTP), lo testo su un browser qualsiasi, lo testo sull’app sul cellulare, tutto bene.
Passo all’account business (quello associato alla ditta). Provo a fare la stessa operazione, mi dice che il mio cellulare non è confermato. Bene, allora lo confermo: perfetto, funziona. Torno al set-up dell’autenticazione multifattore, mi dice di inserire il cellulare, di inserirlo nuovamente, clicco per confermare e…mi riporta in home page.
Provo una, due, più volta ma niente, sempre lo stesso. Chiamo l’assistenza telefonica Paypal. L’assistente telefonica capisce razzi per mazzi e mi trasferisce al supporto tecnico di secondo livello. Il secondo livello mi dice che è impossibile, perchè lato backend non vedono nessun errore, neanche nei log. Rifaccio la procedura sotto la loro guida, sempre stesso discorso: mi conferma che non viene generato nessun errore (falla di sicurezza abnorme).
Bene. Quindi? La signorina è persa. Ipotizzo che la problematica potrebbe essere che il mio cellulare è associato sia all’account personale che a quello business: mi mette in attesa e contatta il supporto di terzo livello. Dopo 10′ di attesa, mi conferma che la mia intuizione è giusta, queste sono le politiche aziendali. Le faccio notare che, se uno avesse 10 account Paypal, per stare sicuro dovrebbe girare con 10 cellulari (o 5 con 2 SIM), lei bofonchia qualcosa, si sta incartando. Le faccio notare che anche l’app gestisce uno ed un solo account.
Ok, le dico. Se Maometto non va alla montagna, andrà al mare. Vorrei settare delle notifiche per cui vengo avvisato via mail se qualcuno si logga sul mio account: impossibile. Incredibile!! Paypal (e dico Paypal) ha dei bachi di sicurezza così grossi? Ma scherziamo?
La signorina, tentando di buttare la palla in corner, mi dice che Paypal non bada a queste cose perchè, si sa, Paypal è sicura, quindi non bada a tutte queste cose. Gettando nel baratro l’azienda per cui lavora. Le faccio notare che mi sono precipitato a verificare la sicurezza di Paypal proprio a seguito di un “incidente” capitato ad un mio amico. A questo punto, ha ceduto le armi e ha detto che avrebbe fatto una escalation (al quarto livello, forse) per segnalare quanto dicevo. Ho chiesto se fosse possibile avere un indirizzo mail per segnalare da me la questione, mi ha risposto di no.
Bene, signorina, allora mi aiuta ad attivare delle notifiche ogni qual volta qualcuno ritira dei soldi dal mio conto? No, mi risponde, non esistono. Però ne esistono ogni qual volta qualcuno deposita sul mio conto. Ecco, se cortesemente segnala anche questo, per cortesia. Imabarazzata, annuisce.
L’unica cosa che è riuscita ad attivarmi è una “notifica anti-frode” (così l’ha chiamata) che non sono riuscito bene a comprendere cosa sia.
Detto questo, e sperando che Paypal si attivi subito per migliorare (sensibilmente) il livello di sicurezza dei suoi account, alcuni consigli per chi utilizza Paypal, specie con gli account business (molti dei consigli di questo post valgono anche per tanti altri servizi online).
- se potete, 1 account = 1 numero di cellulare
- attivate l’autenticazione multifattore, sempre se va bene il punto 1 (oltre alla password, dovrete inserire un PIN che dura 15′, detto OTP – One Time Password – per entrare nel vostro account). Questo non solo abbatte notevolmente la possibilità che qualcuno entri indebitamente nel vostro account, ma vi consente anche di sapere se qualcuno ci sta provando (ricevete un SMS se vi ha rubato la password)
- Qualsiasi cosa sia, chiamate il servizio clienti e fatevi attivare l’alert antifrode
- Tra le notifiche, attivate quella che vi avverte quando un utente aggiunge una carta di credito. Una delle tecniche per svuotarvi il conto, infatti, è proprio quella di aggiungere una carta prepagata e di trasferire il vostro credito su questa carta
- Se avete un account business, non utilizzate la funzione multiutente: in assenza di notifiche, rischiate di perdere parzialmente o totalmente il controllo sul conto aziendale
Spero di aver dato informazioni utili, alla prossima!