PayPal, 35 mila account violati con il metodo "credential stuffing": ecco cos'è e come proteggersi

PayPal ha subito un attacco di credential stuffing che ha portato all'accesso non autorizzato e alla compromissione di migliaia di account. La società sta provvedendo a notificare ai titolari degli account l'avvenuta violazione, con una serie di consigli e di azioni da compiere.

Con i termini "credential stuffing" si intende un attacco del tutto automatizzato che prevede l'impiego di numerosi bot che utilizzano elenchi di credenziali reperiti per lo più tramite altri incidenti e violazioni di sicurezza per tentare di accedere agli account di vari servizi online. Gli utenti maggiormente più vulnerabili a questo tipo di attacchi sono quelli che tendono a riutilizzare massicciamente la stessa coppia user ID/password su servizi differenti.

L'attacco è avvenuto lo scorso mese, tra il 6 e l'8 dicembre 2022. Al momento dell'incidente PayPal lo aveva rilevato riuscendo a porre in atto le opportune contromisure, avviando al contempo un'indagine interna per scoprire in che modo sia stato possibile accedere agli account. Il 20 dicembre, a indagine conclusa, PayPal ha confermato che l'accesso agli account è stato effettuato da terze parti non autorizzate usando credenziali valide.

L'incidente ha coinvolto quasi 35 mila account: nei due giorni in cui è avvenuto l'attacco la terza parte ha avuto accesso a nomi completi, date di nascita, indirizzi postali, numeri di previdenza sociale e numeri di identificazione fiscale dei titolari degli account colpiti. Anche la cronologia delle transazioni, i dettagli delle carte di pagamento e i dati di fatturazione sono accessibili dagli account PayPal.

La società afferma di aver adottato azioni "tempestive" per limitare l'accesso alla piattaforma e per reimpostare d'ufficio le password degli account che hanno confermato di essere stati violati. PayPal afferma comunque che la violazione non ha condotto a nessun tentativo di transazione dagli account compromessi.

"Non abbiamo informazioni che suggeriscano che i tuoi dati personali siano stati utilizzati in modo improprio a seguito di questo incidente o che vi siano transazioni non autorizzate sul tuo account. Abbiamo reimpostato le password degli account PayPal interessati e implementato controlli di sicurezza avanzati che richiederanno di impostare una nuova password al prossimo accesso all'account" ha comunicato PayPal ai titolari degli account interessati. La società ha inoltre comunicato che i titolari degli account soggetti a violazione per questo incidente riceveranno un servizio gratuito di monitoraggio dell'identità, fornito per due anni da Equifax. 

Trattandosi di un episodio di credential stuffing PayPal esorta gli utenti interessati a modificare le password di altri servizi online, preferibilmente utilizzandone di univoche per ciascun servizio e con un mix di caratteri alfanumerici, maiuscole, minuscole e simboli. Infine la società suggerisce di attivare la verifica a due fattori che riduce in maniera significativa il rischio che una parte non autorizzata possa prendere il controllo di un account anche nel caso in cui conosca nome utente e password.