Kiedy trzy i pół roku temu Payback wystartował w Polsce i wprowadził "rewolucyjną" metodę logowania się przy pomocy:
- numeru karty,
- daty urodzenia
- i kodu pocztowego
zupełnie ignorując istniejącą w IT od 40+ lat potrzebę istnienia hasła, zadrżeliśmy.
Było to wywrócenie do góry nogami fundamentalnych zasad bezpieczeństwa i jawna kpina z użytkowników. Mimo wszystko byliśmy wówczas jednak przekonani, że gorzej już być nie może.
Okazało się, że może. Zaś kretynizm twórców polskiego Paybacka nie zna granic.
Niezorientowanym przypomnę, że zdobycie tych trzech danych dla socjotechnika to dziecinna igraszka i wymaga wykonania jednego telefonu do wkręcanej ofiary.
Po maksymalnie pięciu minutach i zastosowaniu jednego, wyświechtanego do bólu tricku socjotechnicznego (rzekomo wygrana nagroda i potrzeba "weryfikacji" danych) socjotechnik uzyskuje pełen dostęp do konta ofiary, może zmienić adres dostarczenia nagrody na dowolny oraz zamienić wszystkie punkty na nagrodę itd.
Mniej więcej pół roku temu, po trzech latach nieustannych skarg, "szpece" od bezpieczeństwa w Payback wpadli na pomysł, że może wreszcie warto byłoby tym durnym użytkownikom umożliwić logowanie się przy pomocy hasła. Wreszcie ugięli się! Wreszcie zrozumieli, że logowanie się i autentykacja użytkownika to nie pole do rewolucji. Chwała im za to!
Trzy lata gwizdania na fundamentalne zasady bezpieczeństwa nie poszły jednak na marne. Więc i tym razem Payback popisał się, uznając metodę logowania z adresem e-mail i hasłem jako alternatywną i nadal pozostawiając użytkownikom swobodę dostępu przy pomocy numeru karty, daty urodzenia i kodu pocztowego.
Nie dawno zarządzający serwisem ponownie dali popis inteligencji.
Od teraz, w ogóle nie trzeba znać żadnych "tajnych" danych, wystarczy tylko numer karty, by uzyskać dane o ilości posiadanych punktów na karcie, ilości punktów zablokowanych itd.
Debile z Payback dostarczyli więc w prezencie socjotechnikowi dodatkowej porcji informacji, które ten może wykorzystać do uwiarygodnienia się przed ofiarą. Większość z nas, gdy usłyszy z drugiej strony informację, która powinna być tajna straci resztki ewentualnego oporu.