Хакеры получили доступ к информации, успешно угадав пароли пострадавших пользователей с помощью атаки “набивания шишек”.
Что случилось?
По данным компании, почти 35 000 пользователей PayPal получили от хакеров личную информацию, включая номера социального страхования и идентификационные номера налогоплательщиков.
PayPal рассылает уведомления об утечке данных тысячам пользователей, сообщает BleepingComputer, который первым сообщил об этом. В среду PayPal также уведомила генерального прокурора штата Мэн об инциденте, заявив, что он затронул 34 942 пользователя.
Хакеры получили доступ к информации о пользователях не путем взлома внутренних систем PayPal, а путем успешного подбора паролей для входа в систему. В частности, хакеры прибегли к атаке “вброс учетных данных”, которая заключается в автоматическом введении учетных данных, обнаруженных в результате утечки данных в прошлом.
Попытки входа были предприняты в прошлом месяце в период с 6 по 8 декабря, до того как PayPal начала ликвидировать доступ хакеров. К счастью, злоумышленники воздержались от совершения мошеннических операций через пострадавшие счета. Тем не менее, преступники смогли получить доступ к конфиденциальной личной информации тысяч пользователей, которая могла быть использована для проведения схем кражи личных данных и других мошеннических действий.
“Личная информация, которая была раскрыта, могла включать ваше имя, адрес, номер социального страхования, индивидуальный идентификационный номер налогоплательщика и/или дату рождения”, – пишет PayPal в уведомлении об утечке данных, которое она рассылает пострадавшим пользователям.
Заявление Paypal
В заявлении для PCMag компания PayPal преуменьшила значение инцидента, сказав, что пострадало лишь “небольшое количество учетных записей клиентов PayPal”.
“Платежные системы PayPal не были затронуты, и никакая финансовая информация не была доступна”, – заявил представитель компании. “Мы связались с пострадавшими клиентами напрямую, чтобы предоставить им рекомендации по этому вопросу и помочь им защитить свою информацию. Безопасность и конфиденциальность информации о счетах наших клиентов остается главным приоритетом для PayPal, и мы приносим искренние извинения за все неудобства, которые могли возникнуть в связи с этим”.
В своем уведомлении об утечке данных PayPal также отмечает: “У нас нет информации, свидетельствующей о том, что в результате этого инцидента были неправомерно использованы какие-либо ваши персональные данные или что по вашему счету были проведены несанкционированные транзакции”. Кроме того, компания сбросила пароли на пострадавших счетах PayPal.
Что остается жертвам взломов?
Тем не менее, жертвам следует быть начеку. Например, хакеры могут использовать открытую личную информацию для открытия кредитных карт или подачи налоговой декларации с целью кражи возврата денег из налоговой службы. В ответ на это PayPal планирует предложить пострадавшим два года бесплатных услуг по мониторингу личных данных.
Этот инцидент также является напоминанием о необходимости использования уникальных, трудноугадываемых паролей для наиболее важных учетных записей. Также следует активировать двухфакторную аутентификацию, которая затруднит взлом учетной записи даже в случае успешного получения пароля.