Iscriviti al nostro nuovo canale YouTube, attiva le notifiche e rimani aggiornato su tutti i nuovi video

PayPal, 35 mila account violati con il metodo "credential stuffing": ecco cos'è e come proteggersi

PayPal, 35 mila account violati con il metodo "credential stuffing": ecco cos'è e come proteggersi

L'incidente è avvenuto a dicembre, la società ha confermato che gli accessi non autorizzati sono stati effettuati usando password valide. Ecco perché è importante usare password univoche

di pubblicata il , alle 17:01 nel canale Sicurezza
PayPal
 

PayPal ha subito un attacco di credential stuffing che ha portato all'accesso non autorizzato e alla compromissione di migliaia di account. La società sta provvedendo a notificare ai titolari degli account l'avvenuta violazione, con una serie di consigli e di azioni da compiere.

Con i termini "credential stuffing" si intende un attacco del tutto automatizzato che prevede l'impiego di numerosi bot che utilizzano elenchi di credenziali reperiti per lo più tramite altri incidenti e violazioni di sicurezza per tentare di accedere agli account di vari servizi online. Gli utenti maggiormente più vulnerabili a questo tipo di attacchi sono quelli che tendono a riutilizzare massicciamente la stessa coppia user ID/password su servizi differenti.

L'attacco è avvenuto lo scorso mese, tra il 6 e l'8 dicembre 2022. Al momento dell'incidente PayPal lo aveva rilevato riuscendo a porre in atto le opportune contromisure, avviando al contempo un'indagine interna per scoprire in che modo sia stato possibile accedere agli account. Il 20 dicembre, a indagine conclusa, PayPal ha confermato che l'accesso agli account è stato effettuato da terze parti non autorizzate usando credenziali valide.

L'incidente ha coinvolto quasi 35 mila account: nei due giorni in cui è avvenuto l'attacco la terza parte ha avuto accesso a nomi completi, date di nascita, indirizzi postali, numeri di previdenza sociale e numeri di identificazione fiscale dei titolari degli account colpiti. Anche la cronologia delle transazioni, i dettagli delle carte di pagamento e i dati di fatturazione sono accessibili dagli account PayPal.

La società afferma di aver adottato azioni "tempestive" per limitare l'accesso alla piattaforma e per reimpostare d'ufficio le password degli account che hanno confermato di essere stati violati. PayPal afferma comunque che la violazione non ha condotto a nessun tentativo di transazione dagli account compromessi.

"Non abbiamo informazioni che suggeriscano che i tuoi dati personali siano stati utilizzati in modo improprio a seguito di questo incidente o che vi siano transazioni non autorizzate sul tuo account. Abbiamo reimpostato le password degli account PayPal interessati e implementato controlli di sicurezza avanzati che richiederanno di impostare una nuova password al prossimo accesso all'account" ha comunicato PayPal ai titolari degli account interessati. La società ha inoltre comunicato che i titolari degli account soggetti a violazione per questo incidente riceveranno un servizio gratuito di monitoraggio dell'identità, fornito per due anni da Equifax. 

Trattandosi di un episodio di credential stuffing PayPal esorta gli utenti interessati a modificare le password di altri servizi online, preferibilmente utilizzandone di univoche per ciascun servizio e con un mix di caratteri alfanumerici, maiuscole, minuscole e simboli. Infine la società suggerisce di attivare la verifica a due fattori che riduce in maniera significativa il rischio che una parte non autorizzata possa prendere il controllo di un account anche nel caso in cui conosca nome utente e password.

13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
demon7719 Gennaio 2023, 17:13 #1
Usare la stessa id/password farlocca per millemila siti farlocchi di cui non può fregartene de meno OK. Lo faccio da sempre.
Ma farlo con servizi preposti al pagamento è come farsi tatuare in fronte "sono un coglione".
Questa è la regola ZERO proprio: per le cose importanti PASSWORD UNIVOCHE e COMPLESSE (nel limite della funzionalità ovviamente).

A parte che poi a me chiede la conferma tramite app su telefono..
phmk19 Gennaio 2023, 17:58 #2

Con la mia ...

Da circa 50 caratteri ed univoca ....
Ci vuole altro che un c...o di BOT ...
Yramrag19 Gennaio 2023, 17:58 #3
E' per lo stesso motivo che ultimamente il forum è pieno di spam da account compromessi?
Intendo oltre al "normale" traffico di spam da nuovi utenti...

Poi, su 518k utenti quasi la metà hanno zero post...
Biscuo20 Gennaio 2023, 09:06 #4
@Yramrag
Hanno raccattato password di Utenti compromessi che usavano la stessa password dappertutto.
In molti Forum c'è un'ondata di spam!
andbad20 Gennaio 2023, 09:42 #5
PayPal, 35 mila account violati con il metodo "credential stuffing": ecco cos'è e come proteggersi


#OsservatorioECCO

By(t)e
demon7720 Gennaio 2023, 10:43 #6
Originariamente inviato da: Biscuo
@Yramrag
Hanno raccattato password di Utenti compromessi che usavano la stessa password dappertutto.
In molti Forum c'è un'ondata di spam!


Boh.. non credo sia neanche necessario..
qui quando saltano fuori messaggi spam viene creato un account da un bot che spamma in tutte le discussioni fino a che nel giro di un giorno o due lo cancellano assieme a tutti i post.

A parte questo sarebbe utile alleggerire il database degli utenti cancellando tutti gli account fantasma creati ed abbandonati secoli fa..
Unax20 Gennaio 2023, 11:35 #7
Originariamente inviato da: demon77
Boh.. non credo sia neanche necessario..
qui quando saltano fuori messaggi spam viene creato un account da un bot che spamma in tutte le discussioni fino a che nel giro di un giorno o due lo cancellano assieme a tutti i post.

A parte questo sarebbe utile alleggerire il database degli utenti cancellando tutti gli account fantasma creati ed abbandonati secoli fa..


non è che il numero di utenti su un forum è un po' come il numero di iscritti su YT o followers su instagram e twitter che fa figo mostrarli anche se chi commenta o vede i video poi sono molto meno?
Yramrag20 Gennaio 2023, 12:34 #8
Originariamente inviato da: Unax
non è che il numero di utenti su un forum è un po' come il numero di iscritti su YT o followers su instagram e twitter che fa figo mostrarli anche se chi commenta o vede i video poi sono molto meno?


Probabile.
Anch'io sarei per le pulizie dopo tot inattività, se l'account ha zero post (quasi la metà.
Se invece siamo più drastici, solo circa ⅕ degli iscritti ha almeno 10 post
Cappej20 Gennaio 2023, 13:45 #9
noooo !!!! Sul post-it nell'immagine dell'articolo c'è scritto la combinazione della mia valigetta... !!! (cit.)
Cappej20 Gennaio 2023, 13:46 #10
Originariamente inviato da: demon77
Usare la stessa id/password farlocca per millemila siti farlocchi di cui non può fregartene de meno OK. Lo faccio da sempre.
Ma farlo con servizi preposti al pagamento è come farsi tatuare in fronte "sono un coglione".
Questa è la regola ZERO proprio: per le cose importanti PASSWORD UNIVOCHE e COMPLESSE (nel limite della funzionalità ovviamente).

A parte che poi a me chiede la conferma tramite app su telefono..


anche a me, continuamente, o SMS o via APP

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^