PayPal è stata vittima di un attacco hacker che ha messo a repentaglio migliaia di dati. Parliamo di un attacco di credential stuffing: gli hacker tentano l’accesso ad un account tramite coppie di nomi utente e password recuperati da furti di dati su vari altri portali, basandosi su un automatismo con bot che eseguono liste di credenziali da provare nei siti di accesso per svariati servizi.
In genere tali attacchi colpiscono gli utenti che sono soliti utilizzare la stessa password per più account online (riciclo di password). L’attacco di credential stuffing ha colpito PayPal tra il 6 e l’8 dicembre 2022: la società statunitense che offre servizi di pagamento digitale e di trasferimento di denaro tramite Internet ha anche avviato un’indagine interna per scoprire come i cyberdelinquenti siano riusciti a bucare gli account. Ad ogni modo, le parti non autorizzate sarebbero entrati con credenziali valide. Sarebbero circa 35 mila gli account colpiti. In quelle due giornate, gli hacker sono riusciti a mettere le mani su nomi e cognomi, date di nascita, indirizzi, numeri di previdenza sociali e di identificazione fiscale, così come cronologie delle transazioni, dettagli delle carte di debito o di credito associate e dati di fatturazione.
PayPal fa sapere di aver preso seri provvedimenti per ridurre l’accesso di cyberdeliquenti ai propri servizi e di aver proceduto a reimpostare le password degli account violati. In ogni caso, gli hacker non hanno provato ad effettuare transazioni dai conti trafugati. La società ha raccomandato agli utenti degli account violati di cambiare le password per gli altri account online, scegliendone di almeno 12 caratteri (alfanumerici e simboli), come pure di attivare l’autenticazione a due fattori (2FA), che impedirebbe accessi non autorizzati anche a chi possiede nome utente e password dell’account PayPal.