PayPal ha inviato notifiche di violazione dei dati a migliaia di utenti, tutti vittime di un furto delle credenziali d’accesso dei loro account. Gli accessi abusivi sono stati resi possibili da una tattica piuttosto banale ma efficace chiamata “credential stuffing“, che consiste nell’utilizzo degli indirizzi email + password contenuti negli archivi provenienti da altri data breach.
In sostanza, degli hacker violano i database di un sito e ottengono le credenziali di centinaia di migliaia di utenti. Queste credenziali vengono poi messe in vendita sul mercato nero e acquistate da altri hacker, che poi le utilizzano per tentare di accedere ad altri servizi e piattaforme, nella speranza che: 1) le vittime del precedente data breach siano iscritti anche alla piattaforma bersaglio del nuovo attacco 2) che la vittima utilizzi la stessa password su più siti.
L’obiettivo delle attacchi di “credential stuffing” sono proprio gli utenti che utilizzano la stessa password per più account online, una pratica – sconsigliata da pressoché ogni esperto – nota come “riciclo delle password“. Circa 35.000 utenti sono stati colpiti. PayPal spiega che l’attacco di “credential stuffing” è avvenuto tra il 6 e l’8 dicembre 2022. L’azienda lo ha rilevato quasi subito, mitigandone le conseguenze.
L’indagine interna svolta dall’azienda si è conclusa lo scorso 20 dicembre. Il verdetto? Il furto degli account non dipende in alcun modo da una mancanza di PayPal, i cui sistemi informatici non sono stati violati.
Gli hacker sarebbero comunque riusciti a carpire le informazioni personali delle vittime dell’attacco: nomi completi, date di nascita, indirizzi postali e codici fiscali. E purtroppo non solo, anche la cronologia completa di tutte le transazioni, oltre che i dati delle carte di credito utilizzate per effettuare acquisti online.
PayPal afferma di aver preso provvedimenti tempestivi per limitare l’accesso degli hacker alla piattaforma e di aver reimpostato le password degli account che erano stati violati. Inoltre, il report conferma che gli aggressori non hanno tentato o non sono riusciti a effettuare transazioni dai conti PayPal violati.