PayPal poinformował swoich klientów, że pod koniec grudnia przestępcy przejęli 30000 kont PayPal. Firma niezwłocznie zresetowała hasła wszystkich użytkowników, których dotyczy problem, i stwierdziła, że nie znalazła żadnych oznak naruszenia systemu.
Łatwo sobie wyobrazić, dlaczego konta PayPal są tak cennymi celami dla przestępców, biorąc pod uwagę, że zajmują się przelewami walutowymi i płatnościami bezpośrednimi, nie mówiąc już o integracji z innymi systemami bankowymi.
Przestępcy przejęli 30000 kont PayPal
Firma PayPal ujawniła w raporcie, że osoby trzecie uzyskały dostęp i przeglądały informacje o wielu użytkownikach. Chociaż liczba klientów, których dotyczy problem, nie została ujawniona we wstępnym raporcie, według SecurityWeek PayPal poinformował prokuratora generalnego stanu Maine, że dotyczy to 34 942 osób.
Firma wyjaśniła, że jej systemy są nienaruszone i że osoby atakujące prawdopodobnie uzyskały dane uwierzytelniające za pomocą innych środków, takich jak phishing. Szacuje się, że około 20% osób ponownie używa tych samych danych uwierzytelniających na wielu kontach internetowych, więc możliwe jest również, że dane logowania używane do uzyskiwania dostępu do kont PayPal pochodzą z naruszenia danych, które nie ma związku z samym PayPal.
„Na podstawie dotychczasowego dochodzenia PayPal uważamy, że ta nieautoryzowana czynność miała miejsce między 6 grudnia 2022 r. a 8 grudnia 2022 r., kiedy wyeliminowaliśmy dostęp dla nieupoważnionych stron trzecich” – wyjaśniła firma. „W tym czasie nieupoważnione osoby trzecie mogły przeglądać i potencjalnie zdobywać niektóre dane osobowe niektórych użytkowników PayPal”.
„Nie mamy żadnych informacji sugerujących, że jakiekolwiek dane osobowe zostały niewłaściwie wykorzystane w wyniku tego incydentu lub że na Twoim koncie były nieautoryzowane transakcje. Nie ma również dowodów na to, że Twoje dane logowania zostały uzyskane z jakichkolwiek systemów PayPal” dodała firma.
Hasła wszystkich użytkowników, których to dotyczy, zostały zresetowane, co oznacza, że muszą oni ustawić nowe. Miejmy nadzieję, że stworzą unikalne hasło, które nie jest używane w żadnej innej usłudze online. Ponadto skonfigurowanie uwierzytelniania dwuskładnikowego powinno być obowiązkowym drugim krokiem.