この事件は私の友人の一人に起こり、その友人は数百ユーロを失いました。 サポートサービスへの繰り返しの呼び出し、PayPalの競合委員会は何にもつながりませんでした、お金は返されませんでした、そしてこの脆弱性は残っています。
状況は次のとおりでした。私の友人であるウラジミールは、特定のドミトリー(以前に働いていた)を借りる前金として560ユーロを送金しました。
数日後、予約はキャンセルされ、ドミトリーはこの金額をウラジミールに戻しました。
ドミトリーが簡単な送金でウラジミールにお金を返したことは注目に値します。 このアクションを元のトランザクションに関連付けずに。 PayPalでは、ロシアの払い戻しで「払い戻し」などの操作があると言わなければなりません。 元の計画によると、商品が1か月以内に配達されなかった場合に、買い手に返品するために郵便で商品を配達するオンラインストアに対して、払い戻しが最も可能性が高いとされています。 この操作は、売り手の許可(確認付き)、つまり 購入者(送信者)からのリクエストに応じてお金を受け取った人。
だからここに。 1か月近く後、ウラジミールは次の内容の手紙を受け取りました。
メールの件名:「Paypalアカウントのハッキング」
テキスト(わずかに変更):
こんにちは、私の名前はマキシムです。 PayPalアカウントにアクセスしました-info@******.ruには現在5896ユーロの金額が含まれています。 証拠として、560 EURの金額でID ******** 94J ******** mail .ruの支払いが返されました。 パスワードを変更しても役に立ちません。 私はあなたのすべてのお金を引き出すことができますが、私はそれをしません。私はあなたに取引を提供することができます。この口座の半分の金額で、これを防ぐ方法を教えます。
同時に、Dmitry 560 EURによる返品操作に関連する返金トランザクションがトランザクションのリストに表示されました。 したがって、ウラジミールのアカウントはこの量だけ減少しました。 もちろん、Vladimirはこの操作を確認せず、アカウントでの通常の操作中のトランザクションで常に発生するメール通知も受信しませんでした。
ウラジミールはすぐにPayPalサポートサービスに連絡しました。この場合、「不正または禁止された使用の事実を報告する」というトピックがあり、彼はこれについてDmitryに書きました。
ドミトリーは彼の口座でこのお金を受け取っていません。 PayPalには、そのような場合にアカウントをブロックしてIDを再確認するための標準手順が含まれています。 裁判は何ももたらさず、お金は返還されなかったが、もはや失われなかったとすぐに言わなければならない。
このような場合、PayPalは明らかにアクションを実行せず、何もチェックしませんが、システムに明らかな穴があります:不正なトランザクションです。
私はこの状況を評価するように招待されました。 かつて、彼はウラジミールのサイトの支払いシステムの統合に従事していました。
お金を送金したハッカーの手紙から判断すると、彼はウラジミールのアカウントに実際にアクセスできませんでした。さもないと、彼はすべてのお金を静かに引き出しました。 しかし、どういうわけか彼はウラジミールの口座の残高を見つけて、ドミトリーの取引を払い戻すことができました。 ウラジミールはトランザクションを確認せず、通知も受け取らなかったため、操作は最初の操作の1か月後の最終日に何らかの払い戻しトランザクションの脆弱性を使用して実行されました。 ほとんどの場合、ハッカーはDmitryの操作に関する情報を受け取り、既存の脆弱性を使用してそれらを使用できました。 ドミトリーもお金を受け取らなかったため、彼らは未知の口座に行くか、システムの腸のどこかに凍ったままでした。
PayPalのサポートのために英語で詳細な手紙を書きました。その中に状況を詳細に説明し、ハッカーの手紙とその翻訳を(彼らの要求に応じて)添付しました。 明らかに、セキュリティの専門家は、不正な取引、お金の行き先などを追跡できます。 しかし、それは彼らのシステムの欠陥の認識でしょう。
答えは簡単でした:不正の十分な証拠が見つかりませんでした。
このストーリーからのすべてのPayPalユーザーの結論:可能であれば、受け取ったすべての支払いのステータスを監視し、それらをシステムから直ちに撤回するか、バッファーアカウントに転送してみてください。 紛争の場合、システム管理者の助けに頼らないでください。彼らは何もしないのが簡単です(e-bayアカウントの漏洩の例)。一般的には、そこから離れることをお勧めします(PayPal-a)。
手紙のスクリーンショットを追加します。
