Σχεδόν 35.000 λογαριασμοί χρηστών PayPal έχουν παραβιαστεί από το λεγόμενο “credential stuffing”, σύμφωνα με το Bleeping Computer. Η υπηρεσία κατάφερε να σταματήσει την επίθεση που διήρκεσε δύο ημέρες και να επαναφέρει τους κωδικούς πρόσβασης των επηρεαζόμενων χρηστών.
Το «credential stuffing» είναι μια τεχνική που χρησιμοποιούσαν οι χάκερ για να αποκτήσουν πρόσβαση στους λογαριασμούς χρηστών. Ο χάκερ χρησιμοποιεί στοιχεία σύνδεσης που είχαν διαρρεύσει στο παρελθόν και, εάν ο χρήστης τα έχει ξαναχρησιμοποιήσει για τον λογαριασμό του στο PayPal, μπορεί να αποκτήσει πρόσβαση σε αυτόν.
Η επίθεση, σύμφωνα με πληροφορίες, διήρκεσε δύο ημέρες, μεταξύ 6 Δεκεμβρίου και 8 Δεκεμβρίου 2022, και επηρέασε 34.942 λογαριασμούς χρηστών.
Οι χάκερ ίσως απέκτησαν πρόσβαση σε σημαντικό αριθμό προσωπικών πληροφοριών των επηρεαζόμενων χρηστών, συμπεριλαμβανομένων των ονομάτων, ημερομηνιών γέννησης, ταχυδρομικών διευθύνσεων, αριθμών κοινωνικής ασφάλισης και αφμ. Επιπλέον, είχαν πρόσβαση σε ιστορικά συναλλαγών, στοιχεία συνδεδεμένων πιστωτικών και χρεωστικών καρτών και δεδομένα τιμολόγησης PayPal.
Το PayPal κατάφερε να σταματήσει την επίθεση και να επαναφέρει τους κωδικούς πρόσβασης για τους χρήστες, με αποτέλεσμα οι χάκερ να χάσουν την πρόσβαση. Η δημοφιλής πλατφόρμα διαδικτυακών πληρωμών διαβεβαιώνει ότι δεν επιχειρήθηκε καμία μη εξουσιοδοτημένη συναλλαγή, ενώ οι επηρεαζόμενοι χρήστες παίρνουν σαν αποζημίωση δύο δωρεάν χρόνια παρακολούθησης από το Equifax.
Αυτό που είναι πολύ σημαντικό, λοιπόν, είναι η μη επαναχρησιμοποίηση του ίδιου κωδικού πρόσβασης σε όλες τις πλατφόρμες, ειδικά σε πλατφόρμες πληρωμών. Εάν οι χρήστες του Paypal δεν είχαν επαναχρησιμοποιήσει τους κωδικούς πρόσβασης, δεν θα είχαν χακαριστεί.
Εάν δε μπορείτε να θυμάστε όλους τους κωδικούς σας μπορείτε να χρησιμοποιήσετε μια υπηρεσία όπως το 1Password ή άλλους διαχειριστές κωδικών πρόσβασης. Επίσης, μπορείτε να επωφεληθείτε από τον έλεγχο ταυτότητας δύο παραγόντων του PayPal για ακόμα πιο αυστηρή ασφάλεια του λογαριασμού σας.