Brutte notizie per gli utenti abituati a fare transazioni online con PayPal, e sono moltissimi: decine di migliaia di accessi non autorizzati sui loro account.
E’ successo lo scorso dicembre, precisamente nel periodo che va dal 6 all’8, ma solo nelle scorse ore la notizia è diventata di pubblico dominio. La nota società di pagamenti PayPal ha rilevato nei suoi sistemi un attacco hacker sotto forma di Credential Stuffing (violazione delle credenziali usate su più piattaforme).
Fino all’ultimo PayPal ha mantenuto la notizia riservata, in attesa dell’esito di indagini interne sull’attacco per capire come sia stato possibile per gli hacker ottenere gli accessi ai vari account. E adesso?
Tutti i numeri dell’ultimo attacco hacker contro PayPal
Che il mondo dell’informatica e della cyber sicurezza sia suscettibile a questo genere di attacchi non è certo una novità. Per Credential Stuffing si intende l’azione del malfattore che entra in possesso di un elenco di dati sensibili degli utenti registrati a una determinata pagina web attraverso un Data Breach, e cerca di approfittare la pigrizia del consumatore medio che utilizza gli stessi dati per registrarsi ai siti di acquisti e pagamenti online, tentando il login “a pioggia” con le credenziali ottenute.
Come accennato, PayPal ha portato avanti la sua indagine per tutto il mese di dicembre 2022, giungendo alla conclusione che soggetti non autorizzati hanno effettuato l’accesso agli account dei loro utenti utilizzando delle credenziali corrette, e ora fa sapere che – fino a prova contraria – non si è trattato di una violazione dei propri sistemi. In altre parole, l’azienda non si ritiene responsabile dell’accaduto.
Secondo il report redatto da PayPal sulla violazione dei dati degli utenti, sono 34.942 gli account della piattaforma coinvolti nell’attacco. Gli hacker hanno avuto accesso a dati quali: nome completo dell’utente, data di Nascita, codice fiscale/Numero di previdenza sociale, indirizzo postale, cronologia delle transazioni, dettagli di carte di credito/debito collegate, dati di fatturazione di PayPal.
Non solo: gli autori dell’attacco hanno avuto a disposizione tutte le funzionalità base di PayPal, tra cui l’invio e la ricezione di denaro. A tale riguardo, però, la stessa PayPal fa sapere non ci sono stati tentativi o transazioni riuscite da parte dei malfattori sui conti violati. Una piccola fortuna nella sfortuna, se vogliamo. Inoltre, la piattaforma di pagamenti elettronici ha adottato dei provvedimenti al fine di limitare questi accessi non autorizzati, reimpostando le password degli account delle vittime, e avvisando gli utenti della violazione e delle conseguenti azioni intraprese.
PayPal ha prontamente suggerito agli utenti registrati di modificare quanto prima la propria password, utilizzando le misure di sicurezza standard per la creazione di una password sicura quali la lunghezza della stringa, la presenza di caratteri alfanumerici e simboli e l’uso di maiuscole e numeri. Per limitare il rischio di nuovi accessi non autorizzati, l’autenticazione a 2 fattori è uno dei metodi più affidabili: con un secondo dispositivo come misura di sicurezza aggiuntiva, infatti, è possibile bloccare gli hacker anche in caso di furto degli account. Prevenire, parafrasando il vecchio adagio, è meglio che pagare.
