Cyberbezpieczeństwo
Wyciek z PayPala. Ucierpiały dane wrażliwe niemal 35 tys. osób
Firma PayPal poinformowała o wycieku danych. W wyniku incydentu ucierpiały dane wrażliwe niemal 35 tys. osób, głównie z USA. Doszło do niego w wyniku ataku hakerskiego zrealizowanego metodą credential stuffing – dlatego warto pamiętać o używaniu unikalnych haseł w usługach cyfrowych.
Atak metodą credential stuffing polega na automatycznym wykorzystaniu zgromadzonych wcześniej przez cyberprzestępców danych do logowania (które np. wyciekły w wyniku innych incydentów i zostały wystawione na sprzedaż na forach hakerskich) do prób zdobycia dostępu do kont w różnych usługach cyfrowych.
Credential stuffing jest skuteczny, jeśli okaże się, że skradzione wcześniej hasła są używane przez osoby do logowania się w wielu usługach – zamiast unikalnych haseł zabezpieczających przed tego rodzaju atakiem.
Czytaj też
Jak doszło do ataku na PayPala?
Przy użyciu opisanej wyżej metody, PayPala zaatakowano pomiędzy 6 a 8 grudnia ubiegłego roku. To właśnie w tym przedziale czasowym – jak podała firma – hakerzy mogli mieć dostęp do danych użytkowników tej platformy i je w nieuprawniony sposób pobierać.
PayPal poinformował, że od razu wykrył atak i podjął działania na rzecz jego odparcia oraz minimalizacji skutków, a także wszczął wewnętrzne dochodzenie, którego celem było wyjaśnienie, jak doszło do tego incydentu.
Dochodzenie to dobiegło końca przed 20 grudnia, kiedy to potwierdzono, że to właśnie opisana wcześniej metoda credential stuffingu pozwoliła sprawcom na włamanie się na konta na PayPalu z użyciem prawdziwych, wielokrotnie wcześniej używanych i wykradzionych w wyniku wcześniejszego incydentu bezpieczeństwa danych do logowania.
PayPal twierdzi przy tym, że dane te nie zostały pozyskane z jego systemów – musiały więc wyciec wcześniej. Do incydentu nie doszło też w wyniku naruszenia bezpieczeństwa wewnętrznych systemów firmy – podał operator płatności.
Czytaj też
Dostęp do danych wrażliwych
Pokrzywdzonych łącznie jest 34 tys. 942 osoby, z czego większość to obywatele USA. Przez dwa dni, kiedy hakerzy mieli dostęp do kont użytkowników, mogli pobrać z nich takie dane, jak pełne imię i nazwisko, daty urodzenia, adresy zamieszkania i korespondencyjne, a także numery ubezpieczenia społecznego i informacje podatkowe.
Cyberprzestępcy zyskali również dostęp o informacji o transakcjach, połączonych z dotkniętymi incydentem kontami kartach kredytowych i debetowych, a także fakturach, które przetwarzane były przez system PayPala np. przy robieniu zakupów.
Według platformy, hasła do kont użytkowników dotkniętych incydentem zostały zresetowane, a dane pozyskane przez hakerów nie zostały według posiadanych przez spółkę informacji wykorzystane do szkodliwych celów – czytamy w oświadczeniu firmy cytowanym przez serwis Bleeping Computer .
Jak dodaje redakcja, osoby dotknięte incydentem otrzymają dwuletni, darmowy abonament na monitoring tożsamości pod kątem nadużyć finansowych dostarczany przez firmę Equifax.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
