PayPal inviato a circa 35.000 utenti una comunicazione relativa all’attacco di credential stuffing avvenuto tra il 6 e l’8 dicembre 2022. L’azienda californiana non specifica i paesi interessati, ma tra i dati esposti ci sono i numeri di previdenza sociale, quindi il problema sembra limitato agli Stati Uniti. Il consiglio è usare password differenti per ogni account online e installare un buon antivirus.
Mai riciclare le password!
PayPal sottolinea che le credenziali di login non sono state ottenute a causa dell’intrusione nei suoi sistemi. Si tratta appunto di credential stuffing. In pratica, i cybercriminali hanno ottenuto (probabilmente a pagamento) un database di username/password sottratto ad una terza parte. Utilizzando tool automatizzati hanno scoperto che alcuni utenti usano le stesse credenziali per accedere all’account PayPal.
L’azienda ha prontamente bloccato l’intrusione, ma i cybercriminali hanno avuto il tempo di rubare i dati di 34.942 utenti, tra cui nome, cognome, data di nascita, numero di previdenza sociale, indirizzo postale e codice di identificazione fiscale.
Fortunatamente sembra che non sia stata effettuata nessuna transazione. PayPal ha resettato le password degli account e informato i rispettivi proprietari. Al prossimo login verrà quindi chiesto l’inserimento di una nuova password. Gli utenti devono cambiare la password di tutti gli account (se è la stessa usata per PayPal) e attivare l’autenticazione in due fattori.
È consigliato l’uso di un password manager per conservare le credenziali (diverse per ogni account). Si dovrebbe inoltre installare un antivirus che rileva e blocca eventuali attacchi di phishing.