Hier, PayPal a commencé à envoyer des notifications de violation de données à des milliers de ses utilisateurs dont les comptes ont été consultés via des attaques de credential stuffing qui ont exposé certaines données personnelles.
BleepingComputer rapporte que près de 35 000 comptes ont été compromis dans l’attaque qui a pris lieu entre le 6 décembre et le 8 décembre 2022.
PayPal indique avoir pris des mesures pour limiter l’accès des intrus et réinitialiser les mots de passe des comptes piratés.”Nous n’avons aucune information suggérant que l’une de vos informations personnelles ait été utilisée à mauvais escient à la suite de cet incident, ou qu’il y ait des transactions non autorisées sur votre compte”, lit l’avis de la société aux utilisateurs concernés.
Sam Curry, responsable de la sécurité chez Cybereason déclare :”Une partie de la beauté des systèmes de paiement réside dans leur simplicité et leur facilité d’utilisation : il y a aussi peu de”clics”que possible ou des défis ajoutés au flux d’achat.Cependant, il n’y a que quelques solutions à cela que PayPal peut tenter.Premièrement, ils peuvent ajouter une authentification multi-facteurs, soit l’ajout d’un défi ou l’instrumentation de facteurs d’authentification non-interruptifs. Dans une certaine mesure, ils le font, mais le simple succès de 35 000 compromis indiquerait que des améliorations pourraient aider. Deuxièmement, l’entreprise peut également ajouter plus d’analyses pour examiner les modèles d’exploitation, bien que cela ait un effet limité puisque les attaquants peuvent simplement ralentir et modifier les modèles de bourrage assez simplement d’un point de vue opérationnel. En fin de compte, cependant, les utilisateurs doivent participer à leur propre sauvetage dans une certaine mesure et faire pivoter les mots de passe, utiliser des coffres-forts de mots de passe, utiliser des mots de passe uniques, etc. donc finalement PayPal peut avoir un programme pour aider les utilisateurs à faire cela au-delà de la simple surveillance du crédit.”
Patrick Wragg, responsable de la réponse aux cyberincidents chez Integrity360, convient que les utilisateurs doivent intensifier leurs propres efforts en matière de sécurité :”La proie du credential stuffing (comme indiqué) met en évidence l’importance d’une solution MFA (Multi-Factor Authentication) robuste. Chaque incident de credential stuffing rencontré par l’équipe IR d’Integrity360 montre que les victimes choisissent toujours des mots de passe faciles à retenir (et donc à deviner). L’ajout de l’étape de sécurité supplémentaire qu’est le MFA signifie que la force du mot de passe n’est pas le seul obstacle que les attaquants doivent franchir.”
Julia O’Toole, PDG de MyCena Security Solutions, met en évidence le rôle des données extraites du Dark Web :
C’est encore une autre attaque de bourrage d’informations d’identification qui a été annoncée au cours de la dernière quelques jours, et cela montre une fois de plus comment les attaquants récupèrent constamment les données du Dark Web pour exploiter davantage les informations compromises.
PayPal a déclaré qu’il n’avait aucune preuve d’utilisation malveillante des comptes d’utilisateurs, mais cela devrait fournir peu Les attaquants peuvent désormais cibler ces victimes avec des e-mails de phishing et des escroqueries au vol d’identité et réutiliser ces mots de passe sur d’autres sites.
PayPal demande aux utilisateurs qui ont reçu une notification indiquant que leur compte a ont été violés pour changer les mots de passe de leurs autres comptes en ligne et pour activer 2FA sur PayPal à partir de le menu Paramètres du compte.
Crédit image : wolterke/depositphotos.com