A Paypal tájékoztatása szerint közel 35 000 ügyfél érintett egy tavaly decemberi adatszivárgás incidensben. A cég álláspontja szerint a támadók ún. credential stuffing módszert alkalmaztak, azaz korábban kiszivárgott felhasználónév/jelszó párosokkal léptek be az áldozatok fiókjaiba. Ez a módszer a több szolgáltatásnál alkalmazott jelszavakkal él vissza ─ ezért is lényeges, hogy minden általunk használt webhelyen és alkalmazásban egyedi jelszavakat használjunk.
A kiszivárgott adatok között szerepel az ügyfelek neve, címe, születési dátuma, társadalombiztosítási és egyéni adóazonosító száma. A cég szerint nincs arra utaló jel, hogy a támadók pénzügyi adatokat loptak volna el vagy visszaéltek volna az ügyfélszámlákkal.
A közleményében a PayPal jelezte, hogy felvette a kapcsolatot az érintett ügyfelekkel, és visszaállította az érintett PayPal-fiókokhoz tartozó jelszavakat, valamint “fokozott biztonsági ellenőrzéseket vezetett be”.
Timothy Morris biztonsági szakember az eset kapcsán a többfaktoros autentikáció fontosságára hívja fel a figyelmet, amivel a credential stuffing jellegű támadások kivédhetőek.