Forrás: PayPal
Nemrégiben a PayPal értesítette ügyfeleit arról, hogy decemberben 35 000 felhasználójának személyes adatai váltak hozzáférhetővé. A PayPal szerint ez a biztonsági incidens az „engedély nélküli harmadik fél” által történt, akik a felhasználói bejelentkezési adatokat használva hozzáfértek az adott fiókokhoz. Azaz valaki megszerezte vagy kitalálta az áldozatok felhasználónevét és jelszavát, valószínűleg másik oldalról, ahol ugyanazokat a belépési adatokat használták.
Ezért fontos, hogy minden egyes webhelyen vagy appban külön jelszót használjunk.
A Mainei ügyészséghez benyújtott információk szerint ez a ”Credential stuffing” 34 942 ügyfélre volt hatással december 6-án. (A Credential stuffing egy olyan kibertámadás, ahol a támadók olyan e-mail-címekkel és jelszavakkal próbálnak belépni, amik egy korábbi adatszivárgásnál szivárogtak ki.) Az kiszivárgott információk tartalmazták az ügyfelek nevét, címét, szociális biztonsági számát, egyéni adóazonosító számát és születési dátumát.
A PayPal azt írta a tájékoztató levelében, hogy „nincs információ, amely azt sugallná, hogy a személyes adataid más módon voltak felhasználva ennek az incidensnek a következtében, vagy hogy a fiókodon jogosulatlan tranzakciók történtek”. „Nincs bizonyíték arra, hogy a bejelentkezési adataidat bármilyen PayPal rendszerből szerezték meg”.
Amikor a PayPal decemberben felfedezte az incidenst, azonnal kutatást indított és intézkedett, hogy megakadályozza a támadókat abban, hogy további ügyfélinformációt szerezzenek – például banki információkat. A PayPal az érintett ügyfeleknek két évig ingyenes Equifax szolgáltatásokat kínál, bár az Equifaxnál is volt már olyan adatvédelmi incidens, amikor kiszivárogtak felhasználói adatok. 2017-ben az Equifax kibertámadást szenvedett el, amit a cég a kínai hadseregnek tulajdonított, és a támadók elrabolták 146,6 millió ember az Egyesült Államokban, Kanadában és az Egyesült Királyságban tartott személyes adatait.
A legutóbbi incidens két hónappal azután történt, hogy megjelent egy hír a PayPal által bevezetett jelszavas bejelentkezés helyett a jelszavak nélküli bejelentkezést biztosító hozzáférő kulcsok hozzáadására tett lépésről , amelynek célja a vásárlók számára biztonságosabb hitelesítési módszert biztosítani az Apple eszközökön.
A Microsoft szerint 579 jelszavas támadás történik minden másodpercben, vagy körülbelül 18 milliárd évente. Sokuk főként azért sikeres, mert az emberek a gyenge jelszavakat választanak és azokat több fiókban is felhasználjáka szokása van.
Timothy Morris, a Tanium fő biztonsági tanácsadója szerint a többszintű hitelesítés megakadályozhatta volna ezt és a hasonló jelszavas támadásokat. Morris azt mondta a Registernek, hogy „ez egy olyan elterjedt probléma, amikor a felhasználók ugyanazt a felhasználói név/jelszó kombinációt használják több oldalhoz és alkalmazáshoz”. Azt is hozzátette, hogy a PayPal ügyfeleinek elrabolt adatai az azonosság ellopásához vagy az adatok hackertámadásokban való eladásához használhatók.
(https://www.theregister.com/2023/01/19/paypal_data_breach/)