PayPal, gli hacker accedono agli account di oltre 35.000 utenti: rubati i dati delle carte di credito e la cronologia

Gli accessi sono stati resi possibili da una tattica banale ma efficace chiamata "credential stuffing". Se non avete ricevuto avvisi non c'è motivo di allarmarsi.

di Umberto Stentella
PayPal

PayPal ha inviato notifiche di violazione dei dati a migliaia di utenti, tutti vittime di un furto delle credenziali d’accesso dei loro account. Gli accessi abusivi sono stati resi possibili da una tattica piuttosto banale ma efficace chiamata “credential stuffing“, che consiste nell’utilizzo degli indirizzi email + password contenuti negli archivi provenienti da altri data breach.

In sostanza, degli hacker violano i database di un sito e ottengono le credenziali di centinaia di migliaia di utenti. Queste credenziali vengono poi messe in vendita sul mercato nero e acquistate da altri hacker, che poi le utilizzano per tentare di accedere ad altri servizi e piattaforme, nella speranza che: 1) le vittime del precedente data breach siano iscritti anche alla piattaforma bersaglio del nuovo attacco 2) che la vittima utilizzi la stessa password su più siti.

L’obiettivo delle attacchi di “credential stuffing” sono proprio gli utenti che utilizzano la stessa password per più account online, una pratica – sconsigliata da pressoché ogni esperto – nota come “riciclo delle password“. Circa 35.000 utenti sono stati colpiti. PayPal spiega che l’attacco di “credential stuffing” è avvenuto tra il 6 e l’8 dicembre 2022. L’azienda lo ha rilevato quasi subito, mitigandone le conseguenze.

L’indagine interna svolta dall’azienda si è conclusa lo scorso 20 dicembre. Il verdetto? Il furto degli account non dipende in alcun modo da una mancanza di PayPal, i cui sistemi informatici non sono stati violati.

Gli hacker sarebbero comunque riusciti a carpire le informazioni personali delle vittime dell’attacco: nomi completi, date di nascita, indirizzi postali e codici fiscali. E purtroppo non solo, anche la cronologia completa di tutte le transazioni, oltre che i dati delle carte di credito utilizzate per effettuare acquisti online.

PayPal afferma di aver preso provvedimenti tempestivi per limitare l’accesso degli hacker alla piattaforma e di aver reimpostato le password degli account che erano stati violati. Inoltre, il report conferma che gli aggressori non hanno tentato o non sono riusciti a effettuare transazioni dai conti PayPal violati.

TAG
PayPal ha un nuovo CEO: Dan Schulman passa il testimone dopo 8 anni
PayPal ha un nuovo CEO: Dan Schulman passa il testimone dopo 8 anni
PayPal ha annunciato il licenziamento di migliaia di dipendenti in tutto il mondo
PayPal ha annunciato il licenziamento di migliaia di dipendenti in tutto il mondo
Anche PayPal vuole dire addio alle password: negli USA si passa a Passkey
Anche PayPal vuole dire addio alle password: negli USA si passa a Passkey
PayPal: "diffondi fake news? Ti preleviamo 2.500 dollari dal conto". Poi la retromarcia: "ci siamo sbagliati"
PayPal: "diffondi fake news? Ti preleviamo 2.500 dollari dal conto". Poi la retromarcia: "ci siamo sbagliati"
PayPal, stop ai rimborsi per le spese di reso: dal 27 novembre del 2022 cambia tutto
PayPal, stop ai rimborsi per le spese di reso: dal 27 novembre del 2022 cambia tutto
PayPal, arriva Pay Monthly: rate fino a 24 mesi per gli acquisti più importanti
PayPal, arriva Pay Monthly: rate fino a 24 mesi per gli acquisti più importanti
PayPal addebiterà dei costi per i conti non attivi
PayPal addebiterà dei costi per i conti non attivi