Que s’est-il simplement passé ? PayPal informe des milliers d’utilisateurs que leurs comptes ont été piratés le mois dernier après que des pirates ont utilisé une attaque par emballage d’informations d’identification. On estime que les détails individuels de près de 35 000 personnes ont été exposés lors de l’événement.
PayPal déclare que les comptes ont été consultés par des personnes non autorisées qui avaient la capacité de penser aux qualifications des utilisateurs, plus que probablement en utilisant des fuites massives d’informations provenant d’autres sites Web. Il met en évidence les risques liés à la réutilisation par des individus de leurs mélanges nom d’utilisateur/mot de passe de connexion sur plusieurs sites. Le recyclage des mots de passe est encore préoccupant et peut être évité en utilisant un excellent gestionnaire de mots de passe.
Ce type d’attaque tire son nom des bots qui exécutent des listes de qualifications sur les sites Web, emballant les sites Web de connexion jusqu’à ce qu’ils y accèdent. PayPal déclare que l’attaque a eu lieu entre le 6 décembre et le 8 décembre 2022, touchant 34 942 clients. L’entreprise souligne que l’événement n’était pas dû à une violation de ses propres systèmes et qu’il n’y a aucune preuve que les qualifications de l’utilisateur aient été volées sur les systèmes PayPal.
Les détails consultés consistaient des noms, adresses, numéros de sécurité sociale, numéros d’identification fiscale individuels et dates de naissance des clients. PayPal a déclaré ne disposer d’aucune information indiquant que l’une de ces données aurait été utilisée à mauvais escient. De manière significative, il n’y a aucune preuve de transactions de paiement non approuvées sur les comptes piratés.
PayPal a déclaré avoir lancé sans délai une enquête une fois l’accès non autorisé découvert. Il a également pris des mesures pour empêcher que davantage de détails sur les clients, très probablement des informations de paiement et de compte, ne soient pris. L’entreprise a réinitialisé les mots de passe des comptes concernés et » a effectué des contrôles de sécurité améliorés. «
Ces événements impliquent généralement que l’entreprise victime informe la police, mais The Reg rapporte que PayPal n’a pas impliqué les flics. La publication a demandé à PayPal pourquoi mais il n’a jamais répondu.
PayPal déclare qu’il offrira aux clients 2 ans de surveillance d’identité d’Equifax, une entreprise qui n’est pas complètement étrangère aux violations de données (et qui a envoyé une fois un rapport de crédit incorrect ). Le géant des paiements recommande également aux utilisateurs concernés de déclencher la protection par authentification à deux facteurs (2FA) sur leurs comptes et de modifier les informations d’identification PayPal recyclées utilisées sur d’autres sites Web ou services.
Toute l’actualité en temps réel, est sur L’Entrepreneur
