PayPal accounts breached in large-scale credential stuffing attack

PayPal は、クレデンシャル スタッフィング攻撃を介してアカウントにアクセスし、個人データの一部を公開した何千人ものユーザーにデータ侵害通知を送信しています。

Credential Stuffing は、ハッカーがさまざまな Web サイトでのデータ漏洩から入手したユーザー名とパスワードのペアを試して、アカウントへのアクセスを試みる攻撃です。

このタイプの攻撃は、さまざまなサービスのログイン ポータルに「詰め込む」ための資格情報のリストを実行するボットによる自動化されたアプローチに依存しています。

Credential Stuffing は、複数のオンライン アカウントに同じパスワードを使用するユーザーを標的にします。これは「パスワードのリサイクル」として知られています。

35,000 人近くのユーザーが影響を受ける

PayPal は、Credential Stuffing 攻撃が 2022 年 12 月 6 日から 12 月 8 日の間に発生したと説明しています。同社はその時点でそれを検出して緩和しましたが、ハッカーがアカウントへのアクセスをどのように取得したかを調べるための内部調査も開始しました。

2022 年 12 月 20 日までに、PayPal は調査を終了し、許可されていない第三者が有効な資格情報でアカウントにログインしたことを確認しました。

電子決済プラットフォームは、これはシステムの侵害によるものではなく、ユーザーの資格情報がそれらから直接取得されたという証拠はないと主張しています.

PayPal からのデータ侵害報告によると、34,942 人のユーザーがこのインシデントの影響を受けました。この 2 日間、ハッカーはアカウント所有者の氏名、生年月日、住所、社会保障番号、個人の納税者番号にアクセスできました。

取引履歴、接続されたクレジット カードまたはデビット カードの詳細、PayPal の請求データにも、PayPal アカウントからアクセスできます。

PayPal は、プラットフォームへの侵入者のアクセスを制限し、違反が確認されたアカウントのパスワードをリセットするためにタイムリーな措置を講じたと述べています。

また、この通知は、攻撃者が侵害された PayPal アカウントからトランザクションを実行しようとしていない、または実行できなかったと主張しています。

「この事件の結果、あなたの個人情報が悪用されたこと、またはあなたのアカウントに不正な取引があったことを示唆する情報はありません」と、影響を受けたユーザーへのPayPalの通知を読みます.

「影響を受けた PayPal アカウントのパスワードをリセットし、次回アカウントにログインするときに新しいパスワードを設定する必要がある強化されたセキュリティ コントロールを実装しました」 – PayPal

影響を受けるユーザーは、Equifax から 2 年間の身元監視サービスを無料で受けられます。

同社は、通知の受信者が一意の長い文字列を使用して他のオンライン アカウントのパスワードを変更することを強く推奨しています。通常、適切なパスワードは 12 文字以上の長さで、英数字と記号が含まれています。

さらに、PayPal は、ユーザーが有効なユーザー名とパスワードを持っていても、権限のない第三者がアカウントにアクセスするのを防ぐことができる [アカウント設定] メニューから 2 要素認証 (2FA) 保護を有効にすることをユーザーに勧めています。