34 942 PayPal-fiókot törtek fel hackerek, az öné is köztük lehet
Az elmúlt időszakban több internetes szolgáltatást is támadás ért, ilyen például a LastPass nevű jelszókezelő feltörése, vagy a Twitter esete is.
Most a PayPal pénzügyi szolgáltatót érte találat, melyben közel 35 ezer felhasználó érintett. A támadást egy credential stuffing nevű módszerrel hajtották végre, melynek lényege, hogy a támadók más honlapokról, szolgáltatásokból ellopott felhasználónév-jelszó párosokkal próbálnak belépni – tehát, akik mindenhol ugyanazzal az adatokkal vannak regisztrálva, veszélyben lehetnek.
A PayPal már megkezdte az érintettek értesítését – a cég állítása szerint a támadásra 2022. december 6. és 8. között került sor. Ezt követően lépéseket tettek a helyzet kezelésére, és belső vizsgálatot is indítottak, hogy kiderítsék, hogyan szereztek hozzáférést a fiókokhoz a támadók. Az eredmények december 20-ra lettek meg, és ezek megerősítették, hogy illetéktelenek léptek be a felhasználók fiókjaiba, érvényes adatokkal – azt azonban aláhúzták, hogy nem a rendszereikből szivárogtak ki ezek az adatok.
A Bleeping Computer beszámolója szerint a támadás ideje alatt 34 942 érintett gyakorlatilag minden adatához hozzáfértek az illetéktelen behatolók: a nevükhöz, születési idejükhöz, lakcímükhöz és egyéb azonosító adataikhoz, nem beszélve a kapcsolt bank- vagy hitelkártyák adatairól. Az azonban jó hír lehet, hogy a PayPal szerint a támadók nem próbáltak tranzakciót indítani.
A szolgáltató hozzátette: időben léptek, az érintett fiókok jelszavait pedig visszaállították, így a felhasználók a következő bejelentkezésüknél be kell állítsanak egy újat.
Mindig érdemes erős, többféle karakterből álló, hosszú jelszót beállítani, és ha lehetséges, a kétlépcsős azonosítást használni – ez a PayPalnál is elérhető. Arról nem is beszélve, hogy mennyire nem ajánlott ugyanazokat az adatokat több helyen is megadni. Ezt a fenti példa jól szemlélteti: egy szolgáltatás feltörésével a hackerek a kinyert adatokat más helyeken is kipróbálhatják.
