Popularny także wśród Polaków serwis płatniczy PayPal stał się obiektem ataku. Doszło do niego w grudniu, ale dopiero teraz, po zablokowaniu dostępu i wyjaśnieniu sprawy, PayPal rozsyła informacje do użytkowników.
Atak na klientów PayPal miał miejsce między 6 a 8 grudnia 2022 r. Firma odkryła, że doszło do takiego zdarzenia i zablokowała złoczyńcom dostęp. Równocześnie rozpoczęła wewnętrzne dochodzenie, aby dowiedzieć się, w jaki sposób hakerzy uzyskali dostęp do kont.
Co się okazało? Złoczyńcy skorzystali z jednej z najprostszych metod – dopasowania danych dostępowych. Włamywacze posłużyli się loginami i hasłami, które wyciekły wcześniej podczas ataków na inne serwisy. Takie działania miały więc skuteczność w przypadku tylko tych użytkowników, którzy dla wygody stosują te same hasła na wielu różnych kontach, by ułatwić sobie życie. Jak jednak po raz kolejny się okazuje – to ułatwia także włamania przestępcom.
Takich wygodnickich klientów PayPal, którzy stali się teraz ofiarami ataku, było 34 942. W skali całego serwisu, który ma na świecie około 430 milionów klientów, to niewiele, ale dla włamywaczy całkiem wystarczające. W ich ręce wpadły imiona i nazwiska klientów, daty urodzenia, adresy, a także numery ubezpieczenia społecznego i numery identyfikacji podatkowej, o ile zostały podane. Wszystko wskazuje też na to, że tym samym przestępcy mieli wgląd w historię transakcji, a także dostęp do danych do fakturowania.
Metoda dopasowania loginu i hasła nie daje jednak pełnego dostępu do numerów kart płatniczych, więc nie ma zagrożenia, że zostaną one wykorzystane przez przestępców. PayPal zapewnia, że hakerzy nie próbowali lub nie zdołali wykonać żadnych transakcji z naruszonych kont.
PayPal zresetował hasła na zaatakowanych kontach, a użytkownicy, których dotyczył problem, otrzymają za darmo dwuletnią usługę monitorowania tożsamości Equifax.
Firma zaleca przy tej okazji, by stosować unikatowe hasła, które nie są ustawiane na innych kontach, o długości co najmniej 12 znaków. Dobre hasło powinno zawierać litery o różnej wielkości, cyfry i znaki specjalne. Klienci PayPal powinni także stosować uwierzytelnianie dwuskładnikowe.
Zobacz: Myślisz, że to Google Chrome. Potem zaczynają znikać pieniądze
Zobacz: Użytkownicy Windows i Androida zagrożeni jak nigdy. Rok 2023 będzie ciężki
Źródło zdjęć: Shutterstock
Źródło tekstu: Bleeping Computer