da Hardware Upgrade :
PayPal ha subito un attacco di credential stuffing che ha
portato all’accesso non autorizzato e alla compromissione di migliaia di
account. La societ sta provvedendo a notificare ai titolari degli
account l’avvenuta violazione, con una serie di consigli e di azioni
da compiere.
Con i termini “credential stuffing” si intende un attacco del tutto
automatizzato che prevede l’impiego di numerosi bot che utilizzano elenchi
di credenziali reperiti per lo pi tramite altri incidenti e violazioni di
sicurezza per tentare di accedere agli account di vari servizi online. Gli
utenti maggiormente pi vulnerabili a questo tipo di attacchi sono quelli
che tendono a riutilizzare massicciamente la stessa coppia user
ID/password su servizi differenti.
L’attacco avvenuto lo scorso mese, tra il 6 e l’8 dicembre 2022.
Al momento dell’incidente PayPal lo aveva rilevato riuscendo a porre in
atto le opportune contromisure, avviando al contempo un’indagine interna
per scoprire in che modo sia stato possibile accedere agli account. Il 20
dicembre, a indagine conclusa, PayPal ha confermato che l’accesso agli
account stato effettuato da terze parti non autorizzate usando
credenziali valide.
L’incidente ha coinvolto quasi 35 mila account: nei due giorni in
cui avvenuto l’attacco la terza parte ha avuto accesso a nomi completi,
date di nascita, indirizzi postali, numeri di previdenza sociale e numeri
di identificazione fiscale dei titolari degli account colpiti. Anche la
cronologia delle transazioni, i dettagli delle carte di pagamento e i dati
di fatturazione sono accessibili dagli account PayPal.
La societ afferma di aver adottato azioni “tempestive” per limitare
l’accesso alla piattaforma e per reimpostare d’ufficio le password degli
account che hanno confermato di essere stati violati. PayPal afferma
comunque che la violazione non ha condotto a nessun tentativo di
transazione dagli account compromessi.
“Non abbiamo informazioni che suggeriscano che i tuoi dati personali siano
stati utilizzati in modo improprio a seguito di questo incidente o che vi
siano transazioni non autorizzate sul tuo account. Abbiamo reimpostato le
password degli account PayPal interessati e implementato controlli di
sicurezza avanzati che richiederanno di impostare una nuova password al
prossimo accesso all’account” ha comunicato PayPal ai titolari degli
account interessati. La societ ha inoltre comunicato che i
titolari degli account soggetti a violazione per questo
incidente riceveranno un servizio gratuito di monitoraggio dell’identit,
fornito per due anni da Equifax.
Trattandosi di un episodio di credential stuffing PayPal esorta gli
utenti interessati a modificare le password di altri servizi online,
preferibilmente utilizzandone di univoche per ciascun servizio e con un
mix di caratteri alfanumerici, maiuscole, minuscole e simboli. Infine la
societ suggerisce di attivare la verifica a due fattori che riduce in
maniera significativa il rischio che una parte non autorizzata possa
prendere il controllo di un account anche nel caso in cui conosca nome
utente e password.