PayPal, 35 mila account violati con il metodo "credential stuffing": ecco cos'è e come proteggersi

PayPal, 35 mila account violati con il metodo "credential stuffing": ecco cos'è e come proteggersi

L'incidente è avvenuto a dicembre, la società ha confermato che gli accessi non autorizzati sono stati effettuati usando password valide. Ecco perché è importante usare password univoche

di pubblicata il , alle 17:01 nel canale Sicurezza
PayPal
 

PayPal ha subito un attacco di credential stuffing che ha portato all'accesso non autorizzato e alla compromissione di migliaia di account. La società sta provvedendo a notificare ai titolari degli account l'avvenuta violazione, con una serie di consigli e di azioni da compiere.

Con i termini "credential stuffing" si intende un attacco del tutto automatizzato che prevede l'impiego di numerosi bot che utilizzano elenchi di credenziali reperiti per lo più tramite altri incidenti e violazioni di sicurezza per tentare di accedere agli account di vari servizi online. Gli utenti maggiormente più vulnerabili a questo tipo di attacchi sono quelli che tendono a riutilizzare massicciamente la stessa coppia user ID/password su servizi differenti.

L'attacco è avvenuto lo scorso mese, tra il 6 e l'8 dicembre 2022. Al momento dell'incidente PayPal lo aveva rilevato riuscendo a porre in atto le opportune contromisure, avviando al contempo un'indagine interna per scoprire in che modo sia stato possibile accedere agli account. Il 20 dicembre, a indagine conclusa, PayPal ha confermato che l'accesso agli account è stato effettuato da terze parti non autorizzate usando credenziali valide.

L'incidente ha coinvolto quasi 35 mila account: nei due giorni in cui è avvenuto l'attacco la terza parte ha avuto accesso a nomi completi, date di nascita, indirizzi postali, numeri di previdenza sociale e numeri di identificazione fiscale dei titolari degli account colpiti. Anche la cronologia delle transazioni, i dettagli delle carte di pagamento e i dati di fatturazione sono accessibili dagli account PayPal.

La società afferma di aver adottato azioni "tempestive" per limitare l'accesso alla piattaforma e per reimpostare d'ufficio le password degli account che hanno confermato di essere stati violati. PayPal afferma comunque che la violazione non ha condotto a nessun tentativo di transazione dagli account compromessi.

"Non abbiamo informazioni che suggeriscano che i tuoi dati personali siano stati utilizzati in modo improprio a seguito di questo incidente o che vi siano transazioni non autorizzate sul tuo account. Abbiamo reimpostato le password degli account PayPal interessati e implementato controlli di sicurezza avanzati che richiederanno di impostare una nuova password al prossimo accesso all'account" ha comunicato PayPal ai titolari degli account interessati. La società ha inoltre comunicato che i titolari degli account soggetti a violazione per questo incidente riceveranno un servizio gratuito di monitoraggio dell'identità, fornito per due anni da Equifax. 

Trattandosi di un episodio di credential stuffing PayPal esorta gli utenti interessati a modificare le password di altri servizi online, preferibilmente utilizzandone di univoche per ciascun servizio e con un mix di caratteri alfanumerici, maiuscole, minuscole e simboli. Infine la società suggerisce di attivare la verifica a due fattori che riduce in maniera significativa il rischio che una parte non autorizzata possa prendere il controllo di un account anche nel caso in cui conosca nome utente e password.

14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Svelgen19 Gennaio 2023, 17:06 #1
Tutto secondo i piani: per pigrizia si tende ad usare la stessa password su più siti, ne bucano anche solo uno e sei fottuto.
demon7719 Gennaio 2023, 17:13 #2
Usare la stessa id/password farlocca per millemila siti farlocchi di cui non può fregartene de meno OK. Lo faccio da sempre.
Ma farlo con servizi preposti al pagamento è come farsi tatuare in fronte "sono un coglione".
Questa è la regola ZERO proprio: per le cose importanti PASSWORD UNIVOCHE e COMPLESSE (nel limite della funzionalità ovviamente).

A parte che poi a me chiede la conferma tramite app su telefono..
Svelgen19 Gennaio 2023, 17:18 #3
Il problema è proprio quello: nessuno si prende la briga di impostare la verifica a due fattori in sistemi dove ci sono memorizzati dati importanti come la carta di credito. Per me Amazon e Paypal dovrebbero essere impostati di default con sistemi a doppia verifica. Senza, non dovrebbe in alcun modo essere possibile usarli. Un po quello che avviene con le banche e con i conti deposito (questi ultimi addirittura prevedono bonifici solo verso il C/C aperto all'inizio della registrazione).
Insomma..il sistema a doppia verifica ormai mi sembra il minimo sindacale su siti dove in ballo ci sono gli sghei...
phmk19 Gennaio 2023, 17:58 #4

Con la mia ...

Da circa 50 caratteri ed univoca ....
Ci vuole altro che un c...o di BOT ...
Yramrag19 Gennaio 2023, 17:58 #5
E' per lo stesso motivo che ultimamente il forum è pieno di spam da account compromessi?
Intendo oltre al "normale" traffico di spam da nuovi utenti...

Poi, su 518k utenti quasi la metà hanno zero post...
Biscuo20 Gennaio 2023, 09:06 #6
@Yramrag
Hanno raccattato password di Utenti compromessi che usavano la stessa password dappertutto.
In molti Forum c'è un'ondata di spam!
andbad20 Gennaio 2023, 09:42 #7
PayPal, 35 mila account violati con il metodo "credential stuffing": ecco cos'è e come proteggersi


#OsservatorioECCO

By(t)e
demon7720 Gennaio 2023, 10:43 #8
Originariamente inviato da: Biscuo
@Yramrag
Hanno raccattato password di Utenti compromessi che usavano la stessa password dappertutto.
In molti Forum c'è un'ondata di spam!


Boh.. non credo sia neanche necessario..
qui quando saltano fuori messaggi spam viene creato un account da un bot che spamma in tutte le discussioni fino a che nel giro di un giorno o due lo cancellano assieme a tutti i post.

A parte questo sarebbe utile alleggerire il database degli utenti cancellando tutti gli account fantasma creati ed abbandonati secoli fa..
Unax20 Gennaio 2023, 11:35 #9
Originariamente inviato da: demon77
Boh.. non credo sia neanche necessario..
qui quando saltano fuori messaggi spam viene creato un account da un bot che spamma in tutte le discussioni fino a che nel giro di un giorno o due lo cancellano assieme a tutti i post.

A parte questo sarebbe utile alleggerire il database degli utenti cancellando tutti gli account fantasma creati ed abbandonati secoli fa..


non è che il numero di utenti su un forum è un po' come il numero di iscritti su YT o followers su instagram e twitter che fa figo mostrarli anche se chi commenta o vede i video poi sono molto meno?
Yramrag20 Gennaio 2023, 12:34 #10
Originariamente inviato da: Unax
non è che il numero di utenti su un forum è un po' come il numero di iscritti su YT o followers su instagram e twitter che fa figo mostrarli anche se chi commenta o vede i video poi sono molto meno?


Probabile.
Anch'io sarei per le pulizie dopo tot inattività, se l'account ha zero post (quasi la metà.
Se invece siamo più drastici, solo circa ⅕ degli iscritti ha almeno 10 post

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^