anulare
Activează sugestiile
Opţiunea de sugestie automată vă ajută să vă reduceţi rapid rezultatele căutării sugerându-vă posibile potriviri atunci când tastaţi.
Afişează rezultate pentru 
Caută în schimb 
Ați dorit să scrieți: 

Lipsă 2FA / MFA în My Orange – o problemă de securitate majoră

Salt la soluție
adrian87n
Cunoscător certificat

‎03-07-2025 01:16 PM - editat ‎03-07-2025 01:21 PM

Bună ziua,

Aș dori să semnalez o problemă serioasă de securitate în aplicația My Orange: lipsa autentificării în doi pași (2FA / MFA).

După cel puțin două incidente grave de scurgere de date în rețeaua Orange – inclusiv informații sensibile precum date de card – consider că lipsa unei metode suplimentare de autentificare este inacceptabilă.

Oricine cunoaște emailul și parola unui utilizator poate accesa contul Orange fără niciun alt obstacol. Nu există nici SMS, nici cod prin aplicație (ex. Google Authenticator), nici măcar un reCAPTCHA sau un cod trimis pe email. Absolut nimic.

Toți competitorii din industrie – Digi, Vodafone, E.ON – oferă autentificare în doi pași. Orange... pauză totală.

Drept urmare, am decis să NU mai efectuez plăți din contul My Orange. Dacă e necesar, folosesc un card de unică folosință (Revolut). În lipsa unor măsuri de securitate de bază, consider că datele mele personale nu sunt protejate corespunzător.

Am trimis deja mai multe sesizări în trecut, dar nu am primit niciun răspuns concret. După 16 ani de fidelitate ca abonat, consider acest tratament o lipsă gravă de respect.

Vă rog să îmi comunicați dacă se are în vedere implementarea autentificării în doi pași în viitorul apropiat.

Cu speranța că sesizarea mea va fi tratată cu seriozitate,
Adrian

 
 

adrian87n_1-1751537889916.png

adrian87n_2-1751537912579.png

adrian87n_3-1751537934399.png

adrian87n_4-1751537954913.png

 

 

 

 

 

Previzualizare fișier
28 KB
Previzualizare fișier
79 KB
Previzualizare fișier
62 KB
Previzualizare fișier
86 KB
1 Soluţie acceptată‚

Salt la soluție
DanielaH
Moderator

la ‎03-07-2025 01:33 PM

@adrian87n, mă bucur să-ți confirm că această implementare este în lucru la colegii noștri de la My Orange și va fi disponibilă în curând. Vă vom ține la curent și în Comunitate.

Vizualizare soluţie în postul original

11 Răspunsuri 11

Salt la soluție
DanielaH
Moderator

la ‎03-07-2025 01:33 PM

@adrian87n, mă bucur să-ți confirm că această implementare este în lucru la colegii noștri de la My Orange și va fi disponibilă în curând. Vă vom ține la curent și în Comunitate.

Salt la soluție
teacher_
#StarMember

la ‎03-07-2025 02:57 PM

Salut! Daca îți salvezi datele, pentru nici unul din cei de mai sus nu funcționează autentificarea in 2 pași, am cont la aproape toate cele menționate de tine. Atunci care mai este rolul salvării datelor din cont? Din ce am înțeles, nu au fost afectate datele personale ale clienților, sau eu nu am auzit sa fie. Speculații sunt destule, știu, și câteva cazuri izolate de utilizatori ale căror date erau deja expirate. Sunt convins că până la finalul verii va fi disponibila și autentificarea cu doi factori. 

Salt la soluție
adrian87n
Cunoscător certificat
Ca raspuns la teacher_

‎04-07-2025 09:52 AM - editat ‎04-07-2025 09:55 AM

Salut, legat de ce ai zis tu : " pentru nici unul din cei de mai sus nu funcționează autentificarea in 2 pași, am cont la aproape toate cele menționate de tine." daca accesezi imaginile ce le-am atasat, vei observa ca inafara de orange, la toti merge autentificarea in 2 pasi prin SMS. Poate nu ai reusit tu, asta nu inseamna ca nu functioneaza, dar cu siguranta verificand mai atent, vei observa ca sunt functionale auntetificarile in 2 pasi.. doar Orange a ramas putin in urma cu securitatea .. si legat de date.. in emailurile primite de la Orange scrie clar.. uite iti pun emailul primit de la Orange...  " In acest moment, din verificarile efectuate, a rezultat ca au fost extrase date cu caracter personal ale unor clienti rezidentiali Orange: numar de telefon; adresa de e-mail; ID intern utilizator; ultimele patru cifre ale cardului bancar; data de expirare a cardului; banca emitenta si tipul cardului. "

cu siguranta recitind vei intelege ca au fost afectate destul de multe date. 

 

 

On Thursday, April 10, 2025 at 12:30:19 PM GMT+3, Orange Romania <news@newsletter.orange.ro> wrote:
 

Salut, legat de ce ai zis tu : " pentru nici unul din cei de mai sus nu funcționează autentificarea in 2 pași, am cont la aproape toate cele menționate de tine." daca accesezi imaginile ce le-am atasat, vei observa ca inafara de orange, la toti merge autentificarea in 2 pasi prin SMS. cu siguranta verificand mai atent, vei observa ca sunt functionale auntetificarile in 2 pasi.. doar Orange a ramas putin in urma cu securitatea .. si legat de date.. in emailurile primite de la Orange scrie clar.. uite iti pun emailul primit de la Orange...  " In acest moment, din verificarile efectuate, a rezultat ca au fost extrase date cu caracter personal ale unor clienti rezidentiali Orange: numar de telefon; adresa de e-mail; ID intern utilizator; ultimele patru cifre ale cardului bancar; data de expirare a cardului; banca emitenta si tipul cardului. "

cu siguranta recitind vei intelege ca au fost afectate destul de multe date. 

 

 

On Thursday, April 10, 2025 at 12:30:19 PM GMT+3, Orange Romania <news@newsletter.orange.ro> wrote:
 
 
 

 

 
 
 

 

 
 
 
 
 

Salut,

Te informam ca una dintre aplicatiile de solutionare a tichetelor, utilizate in cadrul Orange Romania, a fost recent tinta unui atac cibernetic. Serviciile tale de retea nu au fost compromise sau afectate.

Concluziile preliminare arata ca atacul a fost posibil prin exploatarea unor vulnerabilitati, dar si prin compromiterea credentialelor unui utilizator intern (user si parola), obtinute in mod fraudulos.

In acest moment, din verificarile efectuate, a rezultat ca au fost extrase date cu caracter personal ale unor clienti rezidentiali Orange: numar de telefon; adresa de e-mail; ID intern utilizator; ultimele patru cifre ale cardului bancar; data de expirare a cardului; banca emitenta si tipul cardului.

In ce priveste datele cardurilor, acestea nu pot fi folosite pentru a avea acces la conturile bancare ale utilizatorilor sau pentru efectuarea de plati sau transferuri. Orange nu pastreaza informatii despre cardul tau bancar care sa permita autorizarea de tranzactii financiare.

Ne pare rau sa te informam ca te afli in esantionul de persoane ale caror date au fost expuse. Intelegem ca aceasta situatie poate provoca ingrijorare si ne dorim sa te sprijinim, oferindu-ti cat mai multe informatii legate de incident.

In continuare, luam toate masurile pentru a ne asigura ca toti clientii, partenerii, furnizorii si angajatii nostri sunt protejati de alte potentiale riscuri. Suntem sprijiniti in aceste demersuri de partenerii nostri de la Directoratul National de Securitate Cibernetica.

Ce pasi trebuie sa fac mai departe?

Te asiguram ca site-ul Orange.ro si aplicatia MyOrange sunt securizate si nu au fost afectate in niciun fel de aceasta situatie. Ca o masura de precautie, iti sugeram sa iti resetezi parola contului tau MyOrange si sa te asiguri ca este cat mai puternica si unica. Gasesti ghidul pentru resetarea parolei aici: https://oran.ge/reset.

Totodata, iti recomandam sa nu oferi nimanui datele cardului. Orange Romania nu va solicita niciodata aceste informatii prin SMS, e-mail sau apel telefonic. Daca totusi banuiesti ca poti fi tinta unor posibile fraude, iti recomandam sa urmezi pasii urmatori:

1. Sa iti schimbi parolele unice de acces in aplicatiile bancare si PIN-urile cardurilor;

2. Sa te asiguri ca parolele pe care le folosesti nu sunt refolosite in alte aplicatii. Acolo unde aplicatia permite acest lucru, foloseste parole cu o complexitate ridicata (cel putin 12 semne; cel putin o litera mica, o cifra, o litera mare si un simbol/semn de punctuatie);

3. Sa te asiguri ca aplicatiile de pe telefon, cat si sistemul de operare sunt actualizate la zi;

4. Sa ai activa optiunea de autentificare in doi sau mai multi pasi (2FA/MFA), in special in aplicatiile bancare si de gestionare a cardurilor;

5. Daca folosesti carduri virtuale, sa generezi unele noi si/sau sa ai activa optiunea de carduri unice pentru tranzactii online;

6. Desi datele partiale ale cardului nu pot fi folosite pentru tranzactii si transferuri de bani, daca totusi doresti sa fii sigur ca acestea nu pot fi folosite in alte tentative de fraudare, iti recomandam sa blochezi tranzactiile online si la bancomate folosindu-te de aplicatia bancara sau sunand la banca emitenta. Apoi, solicita bancii schimbarea cardurilor.

Daca primesti solicitari prin e-mail, SMS sau apeluri telefonice referitoare la facturi ale Orange Romania sau care iti cer sa confirmi sau sa iti actualizezi datele personale, asigura-te ca acestea provin din canalele oficiale ale companiei. Verifica periodic datele asociate contului tau de client Orange Romania pentru a identifica eventuale modificari neautorizate.

Este important sa ramai vigilent in ce priveste tentativele de fraudare prin campanii de phishing si apeluri telefonice frauduloase. Gasesti o lista de recomandari pe orange.ro si pe sigurantaonline.ro.

Te asiguram ca prioritatea noastra este protejarea datelor clientilor si ale partenerilor.Daca ai fost victima unei tentative de fraudare, te rugam sa te adresezi autoritatilor si apoi sa apelezi call-center-ul Orange la 300 sau la 0374 300 300, din orice retea fixa sau mobila (tarif normal). De asemenea, ne poti contacta si prin e-mail, la adresa serviciul.clienti@orange.ro.

Vom reveni cu noi sfaturi si informatii, pe masura ce apar actualizari importante.

Multumim,
Echipa Orange Romania

 
 
 
 
 
 

© Orange Romania

 
 
 
 

Ti-am trimis acest email automat si te rugam sa nu raspunzi la el.

 
 
adrian87n_2-1751612086126.pngadrian87n_3-1751612104487.pngadrian87n_4-1751612121491.pngadrian87n_5-1751612142970.png

 

 

0 Aprecieri

Salt la soluție
teacher_
#StarMember
Ca raspuns la adrian87n

‎04-07-2025 09:14 PM - editat ‎04-07-2025 09:15 PM

1000072673.jpg

Aplicatia eon. Așa cum am dat click, așa a apărut. Fără nici o solicitare de autentificare. Este cel mai la îndemână exemplu. Doar am apăsat, s-a conectat. 

0 Aprecieri

Salt la soluție
adrian87n
Cunoscător certificat
Ca raspuns la teacher_

‎08-07-2025 02:58 PM - editat ‎08-07-2025 03:00 PM

pai da tati, autentificarea in 2 pasi trebuie activata de user, ca nu se activeaza asa singura,... da du-te si tu jos pe butonul ala : My line -> Contul meu -> Setari cont -> Autentificare in 2 pasi -> ACTIVARE. si click pe ACTIVARE / ACTIVEAZA ...  probabil nu ai fost client EON pana acum? probabil daca nu ai folosit aplicatia posibil ca sa nu cunosti toate setarile... hai , incearca din nou, am incredere in tine ca poti,. .. stiu ca poti. 

Salt la soluție
FLo1
#StarMember

la ‎03-07-2025 03:46 PM

Partea de plăți este gestionată de operatorii de plăți, nicidecum de către furnizorii serviciilor. Dar alegerea fiecăruia este ceva... personal. 

Salt la soluție
adrian87n
Cunoscător certificat
Ca raspuns la FLo1

la ‎04-07-2025 10:07 AM

cum?  pai in acest moment in My Orange.. plata se face direct in cont / in aplicatie, plata nu e externalizata spre un procesator separat.. gen payU, sau Netopia sau alti procesatori din Romania.   Plata nu e externalizata.. deci ... PLATILE CORECT SPUS E CA SUNT GESTIONATE DE FURNIZORII SERVICIILOR, CEL PUTIN ASA E LA ORANGE. la ceilalti gen Vodafone e posibil sa fie plata externalizata in browser, dar in app. plata e direct in app, nu e externalizat nimic, nici o fereastra. iti zic pt ca stiu ca le-am incercat ... si stiu exact. ca asa e IN CAZUL  ORANGE , PLATILE CA SUNT GESTIONATE DE FURNIZORUL DE  SERVICII ORANGE ATAT IN APP, CAT SI IN BROWSER. (posibil prin asocierea cu un procesator, insa nicaieri nu vezi cinee procesatorul, plata fiind efectuata IN INTERIORUL APP MY ORANGE !

0 Aprecieri

Salt la soluție
Pololică
#StarMember

la ‎03-07-2025 04:31 PM

Salutare!

Inteleg ca problema este legata doar de acces, nu si de cardurile salvate. Dintre cei enumerati, nu pot sa confirm (sau sa infirm) pe cei de la Telekom (presupun ca pe ei i-ai incurcat cu eON cand ai zis ca toata concurenta din industrie [in contextul subiectului]).

Ca exemple de 2FA lipsa: Electrica, PPC si Engie. La niciunul, in ultimul an, nu retin sa imi fi cerut verificare suplimentara pentru ACCESUL in cont.

Cat despre plati, acolo la toti mi se cere confirmarea in aplicatia bancara, indiferent cu ce card platesc (ING, BCR, BT, Evrixa, etc).

Plus ca DNSC (Directoratul National pentru Securitate Cibernetica) recomanda schimbarea, la anumite intervale, a parolelor. Atacul de acum aproape 6 luni nu stiu cat m-a afecat din punct de vedere al parolelor intrucat le schimb la intervale aleatorii (nici eu nu stiu cand le schimb, dar de 2-3 ori pe an tot o fac si cel putin o data prin "am uitat parola").

Salt la soluție
adrian87n
Cunoscător certificat
Ca raspuns la Pololică

la ‎04-07-2025 10:01 AM

Salut ! Desigur ai dreptate , si Electrica si cred ca Engie (nu stiu ca nu sunt client la Engie ) sunt in urma, dar securitatea datelor, a contului e esentiala nu? adica reCaptcha + 2FA / MFA (OTP pe email , Google Authentificator) sunt considerate a fi parte din securitatea minima a unui cont.. totusi da, sunt inca furnizori care inca sunt in urma.. de Electrica stiu, de asta m-am si mutatde la ei cu ambele servicii, si prefer EON. parerea mea e ca Electrica, e un furnizor ce nu a avansat in ultimii 30 de ani aproape deloc... ei nu investesc... eu asa vad. doar asa mici schimbari de design ... 

Salt la soluție
Pololică
#StarMember
Ca raspuns la adrian87n

la ‎04-07-2025 10:44 AM

Corect! Cu securitatea nu cred ca negociaza cineva. Important sa stim cum ne proteja si niciodata nu strica "un lacatel" in plus.

0 Aprecieri

Salt la soluție
adrian87n
Cunoscător certificat

‎08-07-2025 03:28 PM - editat ‎08-07-2025 03:30 PM

pana si ejobs au activat azi pasul 2 de autentificare.. .. oameni ce tin la securitate cu adevarat.  the real thing.. 

adrian87n_1-1751977716453.png

adrian87n_2-1751977801857.pngadrian87n_3-1751977831242.png

 

 

0 Aprecieri