Közel 35.000 PayPal felhasználói fiókot törtek fel az úgynevezett “credential stuffing” módszerrel – írja a Bleeping Computer. A vállalat 2 nap alatt elhárította a problémát, és visszaállították az érintettek jelszavait, de így is számos személyes adat kerülhetett illetéktelen kezekbe. Az eset érdekessége, hogy alapvetően nem is a PayPal hibázott, hanem a felhasználók, és ha más nem, tanulni mindenképpen lehet belőle.
Valójában a PayPal saját szervereit nem törték fel, tehát nem a vállalat biztonsági rendszerében volt a hiba. A hackertámadáshoz az úgynevezett “credential stuffing” módszert használták, ami annyit jelent, hogy korábban kiszivárgott felhasználói név és jelszó párosokkal próbálkoztak. Azok a felhasználók voltak veszélyben, akik ugyanazokat a bejelentkezési adatokat használták a PayPal esetében, amiket korábban már más szolgáltatások használatakor is megadtak. Magyarul ugyanazt a jelszót használták több helyen is.
Az illetéktelen behatolás a jelentések szerint két napig, 2022. december 6. és december 8. között tartott, és 34 942 felhasználói fiókot érintett. Elképzelhető, hogy a hackerek jelentős mennyiségű személyes adathoz tudtak hozzáférni, beleértve a teljes neveket, születési dátumokat, postai címeket, társadalombiztosítási számokat és egyéni adóazonosító számokat. Ezen felül a hackerek hozzáférhettek a tranzakciós előzményekhez, a kapcsolt bankkártyák adataihoz és a PayPal számlázási adataihoz.
A PayPal azonban meg tudta állítani a támadást, és visszaállította a felhasználók jelszavait, így a hackerek elvesztették a hozzáférést. A népszerű online fizetési platform igyekezett mindenkint megnyugtatni, hogy nem történtek jogosulatlan tranzakciók.
Az egész esetből azt érdemes leszűrni, hogy használjunk eltérő jelszavakat, ha nem is mindenhol, de a fontosabb szolgáltatások esetében, és ezeket rendszeres időközönként változtassuk meg. Továbbá nagyon fontos a kétfaktoros hitelesítés bekapcsolása, mert így még akkor sem tudnak illetéktelenek belépni a fiókunkba, ha megszerezték a jelszavunkat.