Nog een vriendelijke PSA om die wachtwoorden bij te werken, vooral als u dezelfde op meerdere accounts gebruikt. Er heeft zich opnieuw een inbreuk voorgedaan en het lijkt erop dat de aanvallers bekende inloggegevens gebruiken die op meerdere websites worden gebruikt om uw informatie te bemachtigen. Dit betekent dat een kleine onschuldige login op een lang vergeten website slechte actoren toegang kan geven tot belangrijkere zaken zoals uw PayPal-rekening.
Volgens Een flitsende computer (opent in een nieuw tabblad), werden 34.942 PayPal-gebruikers getroffen door deze laatste credential stuffing-aanval op zijn systemen. Credential stuffing is een geautomatiseerde aanpak waarbij zoveel mogelijk bekende aanmeldingen in een website worden geïnjecteerd, waardoor wachtwoordrecycling een probleem wordt.
Veel websites hebben niet het soort beveiliging dat bijvoorbeeld uw bank of PayPal zal gebruiken om uw persoonlijke gegevens te beschermen. Het is logisch: de meeste mensen bewaren hun waardevolle spullen niet in een plastic kluis, maar u zou de pincode van uw echte kluis er ook niet in stoppen. Als je hetzelfde wachtwoord gebruikt, vooral als het wordt gecombineerd met dezelfde login op meerdere sites, maakt dat het de slechteriken alleen maar een stuk gemakkelijker.
PayPal heeft gevonden (opent in een nieuw tabblad) deze aanval vond begin december 2022 plaats en kon na onderzoek de waarschijnlijkheid van het gebruik van spoofing van referenties bevestigen.
Tijdens de tweedaagse aanval hadden de hackers toegang tot allerlei persoonlijke informatie, waaronder volledige namen, geboortedata, adressen, burgerservicenummers en belastingnummers. Ze konden ook PayPal-transactiegegevens bekijken, waaronder creditcard- en bankgegevens.
Maar wat een beetje vreemd is, is dat ze niets met deze informatie hebben gedaan. Tenminste nog niet. PayPal vond geen bewijs van de aanvallers die transacties probeerden te voltooien, of iets anders door de geluiden der dingen. Het is onzeker of dit de inspanningen waren van iemand die gewoon zag of hij kon, zoals onlangs exposant van de TSA no-fly lijst (opent in een nieuw tabblad)of als we zouden verwachten dat er meer lafhartige daden zouden volgen.
PayPal veranderde wachtwoorden en informeerde getroffen gebruikers, terwijl het twee jaar pro bono identiteitscontrole door Equifax bood om de zaken in de gaten te houden. Het bedrijf raadt iedereen aan om tweefactorauthenticatie in te schakelen om zichzelf in de toekomst tegen deze aanvallen te beschermen, en natuurlijk i stop met het recyclen van uw wachtwoorden (opent in een nieuw tabblad). Vooral op plaatsen waar u belangrijke zaken zoals uw identiteit wilt bewaren.