Масштабная утечка, как ни странно, произошла не по вине сервиса.
PayPal массово рассылает уведомления об утечке данных. По результатам хакерской атаки личные данные множества пользователей попали в руки злоумышленников.
PayPal заявляет, что атака произошла в период с 6 по 8 декабря 2022 года. Компания быстро обнаружила её и приняла соответствующие меры, но также начала внутреннее расследование, чтобы выяснить, как хакеры получили доступ к учетным записям.
20 декабря PayPal завершила расследование и подтвердила, что неавторизованные третьи лица действительно входили в скомпрометированные учетные записи, но случилось это совсем не из-за уязвимости платформы PayPal.
Ответственная за взлом группировка применила метод «credential stuffing», при котором специальное программное обеспечение просто перебирает комбинации учётных данных, полученных злоумышленниками в ходе предыдущих утечек. Иначе говоря, логины/пароли могли слить совсем из другого сервиса и очень давно, но успешно применить их для авторизации в учётные записи PayPal. Похитить личную информацию удалось только с тех аккаунтов, которые не были защищены двухфакторной аутентификацией.
Согласно отчёту компании, инцидент затронул около 35 тысяч пользователей. В течение двух дней хакеры имели доступ к следующим данным пользователей сервиса: ФИО, дата рождения, почтовый адрес, номер социального страхования, индивидуальный идентификационный номер налогоплательщика, история транзакций, данные подключенных карт и данные выставления счетов PayPal.
Компания заявляет, что предприняла своевременные действия, чтобы ограничить доступ злоумышленников к платформе и сбросить пароли учетных записей, которые были взломаны. Также в сообщении компании утверждается, что злоумышленники не пытались или не смогли провести какие-либо транзакции со взломанных учетных записей PayPal.
«У нас нет информации, позволяющей предположить, что какие-либо ваши личные данные были использованы не по назначению в результате этого инцидента, или что в вашей учетной записи были проведены какие-либо несанкционированные транзакции», — сообщается в сообщении PayPal пострадавшим пользователям.
«Мы сбросили пароли уязвимых учетных записей PayPal и внедрили расширенные средства контроля безопасности, которые потребуют от вас установки нового пароля при следующем входе в свою учетную запись», — предупредила компания.
PayPal также настоятельно рекомендовала пользователям, получившим уведомление о взломе, активировать двухфакторную аутентификацию (2FA) в меню «Настройки учетной записи». Это может предотвратить доступ злоумышленников, даже если они обладают всеми данными для входа в аккаунт. Ещё компания порекомендовала изменить пароли и от других онлайн-аккаунтов, чтобы ситуация не повторилась с ними.
Никаких овечек — только отборные научные факты