PayPal: 35 mila account violati con credential stuffing

PayPal sta mettendo al corrente i suoi utenti del fatto che il servizio è stato vittima di una violazione degli account che ha esposto alcuni dati personali. L’attacco è stato attuato sfruttando la tecnica definita “credential stuffing” e ha interessato ben 35 mila account.

PayPal: violati 35 mila account a dicembre 2022

Per chi non lo sapesse oppure non lo ricordasse, il credential stuffing viene effettuato dai cybercrminali che tentano di accedere ad un account provando ad inserire coppie di dati (nome utente e password) pubblicate sul Web. Solitamente questo tipo di attacco viene effettuato in maniera automatica da bot.

L’attacco si è verificato tra il 6 e l’8 dicembre 2022. I sistemi interni sono riusciti a bloccarlo immediatamente non appena lo hanno rilevato.

Durante questi due giorni, gli hacker hanno avuto accesso ai nomi completi, alle date di nascita, agli indirizzi postali, ai numeri di previdenza sociale e ai numeri di identificazione fiscale dei titolari degli account.

Al contempo, PayPal ha avviato un’indagine interna per scoprire come gli hacker hanno ottenuto l’accesso agli account, la quale si è conclusa il 20 dicembre 2022 e ha confermato che terze parti non autorizzate hanno effettuato l’accesso agli account con credenziali valide.

Da tenere presente che tutti gli utenti coinvolti sono stati informati dell’accaduto a mezzo email, mediante la quale la piattaforma ha precisato che non si è trattata di una violazione diretta dei propri sistemi e che non ci sono prove che le credenziali siano state ottenute mediante violazioni di PayPal.