PayPal: Atak hakerów na konta użytkowników

O ataku wiemy m.in. z wiadomości rozsyłanych użytkownikom serwisu. Na szczęście w tym przypadku nie wykorzystano żadnej zaawansowanej metody – przestępcy próbowali dostać się do kont użytkowników, stosując tzw. credential stuffing.

To metoda polegająca na tym, że włamujący próbuje zalogować się w sposób niepowołany na konto, wykorzystując w tym celu wcześniej już dostępne w sieci loginy i hasła. Siłą rzeczy więc zagrożeni atakiem są ci, którzy stosują te same hasła w różnych serwisach i nie zmienili ich, gdy ich dane do logowania wypłynęły – co zresztą łatwo sprawdzić, odwiedzając stronę haveibeenpwned.com.

Według przygotowanego przez PayPala raportu, ofiar ataku jest niemal 40 tys., włamywacze zaś uzyskali dostęp do ich nazwisk, dat urodzenia, adresów, historii transakcji oraz numerów ubezpieczeń.

Ataki miały miejsce między 6 a 8 grudnia ubiegłego roku, PayPal zaś zresetował hasła zagrożonych użytkowników. Poszkodowani otrzymają również od firmy bezpłatną dwuletnią usługę monitorowania tożsamości Equifax. Portal zachęca również do aktywacji dwuskładnikowego uwierzytelnienia – co zresztą zawsze jest dobrym pomysłem.