Atak na użytkowników PayPal - mogły wyciec dane osobowe i numery ubezpieczeń - komentarz eksperta ESET

PayPal rozsyła powiadomienia o naruszeniu bezpieczeństwa danych do tysięcy użytkowników, których konta zostały zaatakowane metodą credential stuffing. To typ ataku, w ramach którego hakerzy próbują uzyskać dostęp do kont, wypróbowując loginy i hasła, które wyciekły wcześniej z innych serwisów. Zgodnie z raportem PayPal o naruszeniu danych, incydent dotknął 34 942 jego użytkowników.

Jeżeli używałeś w innym serwisie tego samego hasła co do PayPala, szybko zmień hasło logowania do PayPala na silne i unikalne - radzą eksperci ESET.

Właściciele kont, których dotyczy problem, powinni już zostać powiadomieni. Osoby te powinny zachować wyjątkową  czujność, ze względu na ilość danych osobowych, które mogli niestety poznać przestępcy w ramach tego prostego mechanizmu ataku. „Credential stuffing” to zautomatyzowany proces, w którym cyberprzestępca wykorzystuje ponownie dane logowania, wykradzione w wyniku naruszenia bezpieczeństwa w innej usłudze czy witrynie. Jest jednym z najłatwiejszych sposobów ataku dla hakerów, ale użytkownicy mogą łatwo odeprzeć go i chronić swoje konta dzięki zaledwie kilku krokom. Wszyscy powinni używać unikalnych, silnych haseł do wszystkich swoich kont internetowych, zwłaszcza tych związanych z usługami finansowymi. Dostęp powinien być również zabezpieczony za pośrednictwem uwierzytelniania wieloskładnikowego. Najlepiej wykorzystywać do tego klucz bezpieczeństwa lub aplikację uwierzytelniającą, a nie wiadomości SMS. Niepokojące jest to, że PayPal obecnie nie wymaga domyślnie uwierzytelniania wieloskładnikowego podczas logowania, co zapewniłoby pełniejszą ochronę kont i praktycznie całkowicie zablokowało możliwości ataków typu „credential stuffing”

Kamil Sadkowski,

starszy specjalista ds. cyberbezpieczeństwa ESET

Źródło: https://www.bleepingcomputer.com/news/security/paypal-accounts-breached-in-large-scale-credential-stuffing-attack/