PayPal hat gestern damit begonnen, Benachrichtigungen über Datenschutzverletzungen an Tausende seiner Benutzer zu versenden, deren Konten über Credential-Stuffing-Angriffe aufgerufen wurden, bei denen einige persönliche Daten preisgegeben wurden.
BleepingComputer berichtet, dass fast 35.000 Konten bei dem Angriff kompromittiert wurden findet zwischen dem 6. und 8. Dezember 2022 statt.
PayPal sagt, dass es Maßnahmen ergriffen hat, um den Zugriff von Eindringlingen einzuschränken und die Passwörter von gehackten Konten zurückzusetzen. „Uns liegen keine Informationen vor, die darauf hindeuten, dass Ihre personenbezogenen Daten infolge dieses Vorfalls missbraucht wurden oder dass auf Ihrem Konto nicht autorisierte Transaktionen stattgefunden haben“, heißt es in der Mitteilung des Unternehmens an betroffene Benutzer.
Sam Curry, Chief Security Officer bei Cybereason sagt:”Ein Teil der Schönheit von Zahlungssystemen ist ihre Einfachheit und Benutzerfreundlichkeit: Es gibt so wenige”Klicks”wie Es gibt jedoch nur wenige Lösungen, die PayPal ausprobieren kann: Erstens können sie eine Multi-Faktor-Authentifizierung hinzufügen, entweder das Hinzufügen einer Herausforderung oder die Instrumentierung von unterbrechungsfreien Authentifizierungsfaktoren. Bis zu einem gewissen Grad tun sie das, aber der bloße Erfolg von 35.000 Kompromissen würde darauf hindeuten, dass Verbesserungen helfen könnten Zweitens kann das Unternehmen auch mehr Analysen hinzufügen, um Exploit-Muster zu untersuchen, obwohl dies nur begrenzte Auswirkungen haben wird, da Angreifer aus betrieblicher Sicht einfach verlangsamen und Muster zum Füllen ziemlich einfach ändern können. Letztendlich müssen sich die Benutzer jedoch bis zu einem gewissen Grad an ihrer eigenen Rettung beteiligen und Passwörter rotieren, Passworttresore verwenden, eindeutige Passwörter verwenden und so weiter. PayPal kann also endlich ein Programm haben, das Benutzern dabei hilft, dies über die bloße Kreditüberwachung hinaus zu tun.”
Patrick Wragg, Cyber Incident Response Manager bei Integrity360 stimmt zu, dass Benutzer ihre eigenen Sicherheitsbemühungen verstärken müssen,”Das Opfer von Credential Stuffing (wie berichtet) unterstreicht die Bedeutung einer robusten MFA-Lösung (Multi-Factor Authentication). Jeder Credential-Stuffing-Vorfall, auf den das IR-Team von Integrity360 stößt, zeigt, dass Opfer immer noch Passwörter wählen, die leicht zu merken (und daher zu erraten) sind. Das Hinzufügen des zusätzlichen Sicherheitsschritts MFA bedeutet, dass die Passwortstärke nicht die einzige Hürde ist, die Angreifer überwinden müssen.”
Julia O’Toole, CEO von MyCena Security Solutions hebt die Rolle von Daten aus dem Dark Web hervor:
Dies ist ein weiterer Credential-Stuffing-Angriff, der zuletzt angekündigt wurde paar Tagen, und es zeigt wieder einmal, wie Angreifer ständig Daten aus dem Dark Web kratzen, um kompromittierte Informationen weiter auszunutzen.
PayPal hat erklärt, dass es keine Beweise dafür hat, dass Benutzerkonten böswillig verwendet werden, aber dies sollte wenig liefern Komfort für die Opfer. Die Angreifer können diese Opfer nun mit Phishing-E-Mails und Betrug mit Identitätsdiebstahl angreifen und diese Passwörter erneut auf anderen Websites verwenden.
PayPal fordert Benutzer, die eine Benachrichtigung erhalten haben, dringend auf, dass ihr Konto eine hat verletzt worden, um die Passwörter für ihre anderen Online-Konten zu ändern und 2FA auf PayPal aus zu aktivieren Menü Kontoeinstellungen.
Bildnachweis: wolterke/depositphotos.com