Společnost PayPal nedávno začala rozesílat oznámení tisícům uživatelů, kteří byli postiženi únikem dat. K narušení došlo v důsledku útoků typu credential stuffing, které umožnily neoprávněný přístup k uživatelským účtům.
V důsledku těchto útoků mohlo dojít k vyzrazení některých osobních údajů. Je důležité, aby uživatelé podnikli nezbytné kroky k ochraně svých údajů a sledovali své účty, zda na nich nedochází k podezřelým aktivitám.
Credential stuffing je typ kybernetického útoku, jehož prostřednictvím se hackeři snaží získat neoprávněný přístup k účtům pomocí dvojic uživatelských jmen a hesel, které byly získány z úniků dat na různých webových stránkách.
Děje se tak automatizovaným procesem zkoušení různých kombinací přihlašovacích údajů na konkrétní webové stránce nebo službě. Tyto útoky jsou stále častější, protože se na internetu sdílí stále více osobních údajů.
Prostřednictvím hrozeb typu credential stuffing se aktéři cíleně zaměřují na uživatele, kteří používají stejné heslo pro více online účtů. Tato praxe je běžně známá jako „recyklace hesel“ a hackerům usnadňuje přístup k různým účtům uživatele.
Narušení bezpečnosti údajů PayPal
Mezi 6. a 8. prosincem 2022 došlo k útoku typu credential stuffing. V době incidentu společnost problém odhalila a zmírnila, zároveň však začala vyšetřovat způsob, jakým se hackeři dostali k účtům a získali nad nimi kontrolu.
Po ukončení vyšetřování 20. prosince 2022 společnost PayPal potvrdila, že aktéři hrozby použili k přihlášení k účtům uživatelů platné přihlašovací údaje.
Tvrdilo se, že u společnosti PayPal nedošlo k narušení systému a že nebyly nalezeny žádné dokumenty, které by dokazovaly, že útočníci získali přihlašovací údaje uživatelů přímo od společnosti PayPal.
Postiženo bylo 35 000 uživatelů