PayPal potwierdza naruszenie danych, wysyła ostrzegawcze e-maile do użytkowników

PayPal wydał ostrzeżenie dla niektórych swoich klientów, że ich konta zostały naruszone, a niektóre wrażliwe dane zagrożone. 

W swoim raporcie firma potwierdziła, że 20 grudnia 2022 roku nieautoryzowana trzecia strona uzyskała dostęp do kilku kont PayPal. Dalsze dochodzenie ujawniło, że ktokolwiek stał za atakiem, uzyskał dostęp do kont między 6 grudnia a 8 grudnia 2022 roku.

“W tym czasie nieautoryzowane strony trzecie były w stanie przeglądać, a także potencjalnie zdobyć, niektóre dane osobowe niektórych użytkowników PayPal” – czytamy w ostrzeżeniu. Dane te obejmują nazwiska użytkowników, adresy, numery ubezpieczenia społecznego, indywidualne numery identyfikacji podatkowej i/lub daty urodzenia.

PayPal nie wyjaśnił dokładnie, jak napastnikom udało się uzyskać dostęp do tych kont, poza stwierdzeniem, że nie ma “żadnych dowodów” na to, że dane logowania zostały pobrane z systemów firmy.

BleepingComputer donosi, że naruszenie jest wynikiem credential stuffing, rodzaju ataku, w którym hakerzy “wypychają” stronę logowania wieloma poświadczeniami pobranymi gdzie indziej, aż w końcu jedno zadziała. Metoda ta polega na tym, że ludzie używają tych samych haseł w wielu serwisach, więc jeśli jeden zostanie naruszony, wszystkie są zagrożone. Ten sam raport twierdzi również, że 34 942 konta zostały naruszone, a historie transakcji, połączone dane kart kredytowych lub debetowych, a także dane fakturowania PayPal zostały prawdopodobnie uzyskane.

Nie wiadomo jeszcze, co hakerzy zrobią z danymi pozyskanymi w ramach ataku. W tej chwili PayPal nie ma żadnych dowodów na to, że dane zostały wykorzystane w niewłaściwy sposób, ale można bezpiecznie założyć, że zostaną one wykorzystane w kradzieży tożsamości, phishingu lub innych formach ataków socjotechnicznych.

Aby chronić swoich użytkowników, PayPal zresetował hasła dla dotkniętych użytkowników, a także “wzmocnił kontrole bezpieczeństwa” wymagające od użytkowników założenia nowego konta przy następnym logowaniu. Ponadto użytkownicy otrzymali roczne bezpłatne usługi monitorowania tożsamości oferowane przez Equifax.