Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/paypal-hacker-mettono-in-vendita-online-15-8-milioni-di-credenziali-e-allarme-sicurezza_142299.html

Nel Dark Web sta circolando un dump che contiene le credenziali d'accesso a 15,8 milioni di account di PayPal, è allarme per la sicurezza.

Click sul link per visualizzare la notizia.

C'è il riconoscimento a doppio fattore , le credenziali sono inutili

C'è il riconoscimento a doppio fattore , le credenziali sono inutili

In realtà penso che molta gente utilizzi la stessa accoppiata mail-password su più siti web, il fatto che ora siano potenzialmente compromesse non fa piacere

C'è il riconoscimento a doppio fattore , le credenziali sono inutili

1) Non è detto che l'utente abbia abilitato la 2FA
2) Anche se è abilitata, dipende cosa ha usato come seconda autenticazione. Metti che arriva un codice per email, e username e password sono le stesse di Paypal... bingo.
3) Avere comunque la tua email ed una password che magari hai usato più volte in altri servizi è un bel rischio.

Chiaramente la maggior parte degli utenti non fa cazzate simili, ma alla fine se spari nel mucchio di migliaia di persone, un centinaio di fessi li becchi sempre.

Ma soprattutto, PayPal conserva le password degli utenti? :muro:
Non me lo aspetterei da una società di tale importanza, soprattutto nel settore finanziario, nel 2025...

Ma soprattutto, PayPal conserva le password degli utenti? :muro:
Non me lo aspetterei da una società di tale importanza, soprattutto nel settore finanziario, nel 2025...
dici che hanno un file password.txt con le pw in chiaro ? :D

saranno le solite pw raccolte tramite email e phishing del tipo "clicca qui per rinnovare la password",
nel qual caso potrebbe avere anche la mia con email "yourmother@isabigslu*.com" e password "yourmotherfuc**********" :O

Ma soprattutto, PayPal conserva le password degli utenti? :muro:
Non me lo aspetterei da una società di tale importanza, soprattutto nel settore finanziario, nel 2025...

Questa cosa infatti è strana.

Le password dovrebbero essere salvate in un database non in chiaro ma sotto forma di hash.

Se l'hacker accede all'intero database potrà provare con dei bruteforce a scoprire a quali password corrispondono tali hash, ma riuscirà a farlo soltanto per le password corte, senza caratteri strani o soggette a rischio dictionary attack. Quindi in teoria solo alcune.

Tuttavia quando ti fanno scegliere una password ti impongono che abbia una certa lunghezza minima e una certa quantità di caratteri particolari. Quindi in teoria nessuna sarabbe scopribile in tempi brevi con brute force..

Quindi mi chiedo, come hanno fatto ad avere tali password nella pratica?

Non sono salvate da PayPal, sono salvate dagli utenti. Questi sono "stealer dumps"

Non sono salvate da PayPal, sono salvate dagli utenti. Questi sono "stealer dumps"
La prima difesa di PayPal, allora, dovrebbe essere "noi non memorizziamo le password degli utenti", non "non ci risulta aver subito attacchi recenti"...

Sono bravi a vendere cose inutili....quei file sono vecchi e gli account coinvolti resettati.
Della serie ti truffo in tutto e per tutto, pacco contropacco e paccotto..geni nel vendere fuffa!

La prima difesa di PayPal, allora, dovrebbe essere "noi non memorizziamo le password degli utenti", non "non ci risulta aver subito attacchi recenti"...

Infatti Paypal dichiara che il dump risale ad un precedente leak del 2022

1) Non è detto che l'utente abbia abilitato la 2FA
2) Anche se è abilitata, dipende cosa ha usato come seconda autenticazione. Metti che arriva un codice per email, e username e password sono le stesse di Paypal... bingo.
3) Avere comunque la tua email ed una password che magari hai usato più volte in altri servizi è un bel rischio.

Chiaramente "Purtroppamente" la maggior parte degli utenti non fa cazzate simili,[...]

:rolleyes:

Infatti Paypal dichiara che il dump risale ad un precedente leak del 2022
Cosa che conferma la mia tesi...;)

Cosa che conferma la mia tesi...;)

No; non c'è stato un breach di PayPal, c'è stato un "leak". Se qualcuno ruba le tue password di hwupgrade, non significa che hwupgrade è stato violato, ma che i dati del tuo password manager sono finiti nelle mani di qualcuno.
Questi dump contengono, appunto, dump di credenziali sifonate dai password manager con uso di malware.
Che poi venga venduto e pubblicizzato come un leak proveniente da PayPal è diverso, ed è solo fuffa

No; non c'è stato un breach di PayPal, c'è stato un "leak". Se qualcuno ruba le tue password di hwupgrade, non significa che hwupgrade è stato violato, ma che i dati del tuo password manager sono finiti nelle mani di qualcuno.
Questi dump contengono, appunto, dump di credenziali sifonate dai password manager con uso di malware.
Che poi venga venduto e pubblicizzato come un leak proveniente da PayPal è diverso, ed è solo fuffa
Mi baso su quello che dice l'articolo, poi se non è corretto...

C'è il riconoscimento a doppio fattore , le credenziali sono inutili

Non sai di che parli. Il 2FA è facilmente aggirabile avendo le credenziali.

Non sai di che parli. Il 2FA è facilmente aggirabile avendo le credenziali.

Senza entrare nei meriti conoscitivi dell'utente in questione, ipotizzo che forse ci si sta confondendo con l'uso di una passkey.

Non sai di che parli. Il 2FA è facilmente aggirabile avendo le credenziali.

Ma non è vero, altrimenti la stessa 2FA non servirebbe a nulla, dato che è un livello in più di protezione alla semplice password. Tempo fa non so come mi presero proprio le credenziali di Paypal, ma grazie alla 2FA tramite un app authenticator se la sono presa in quel piffero.

Ma non è vero, altrimenti la stessa 2FA non servirebbe a nulla, dato che è un livello in più di protezione alla semplice password. Tempo fa non so come mi presero proprio le credenziali di Paypal, ma grazie alla 2FA tramite un app authenticator se la sono presa in quel piffero.

Ma infatti, il problema è che il termine 2FA generalizza il metodo con il quale si effettua la seconda autenticazione. Se è un semplice codice spedito tramite email o sms, diciamo che attualmente ci sono parecchi stratagemmi che permettono di reperirne il contenuto (soprattutto per quello via email). Ma se si utilizza un authenticator (fisico o tramite app), le possibilità di hackeraggio diminuiscono esponenzialmente. Se poi si usa una passkey biometrica, beh... allora (per adesso) si possono dormire sonni tranquilli (relativamente, eh ;)).