Mais affirme qu’aucune donnée personnelle n’a été utilisée illicitement après l’incident
PayPal a commencé à envoyer des notifications de violation de données à des milliers de ses utilisateurs dont les comptes ont été accessibles via des attaques par credential stuffing qui ont exposé certaines données personnelles. Près de 35 000 comptes ont été compromis dans l’attaque qui a eu lieu entre le 6 et le 8 décembre 2022.
PayPal dit avoir pris des mesures pour limiter l’accès des intrus et réinitialiser les mots de passe des comptes violés. « Nous n’avons aucune information suggérant qu’une de vos informations personnelles a été utilisée à mauvais escient à la suite de cet incident, ou qu’il y a des transactions non autorisées sur votre compte« , peut-on lire dans l’avis de la société aux utilisateurs concernés.
Sam Curry, responsable de la sécurité chez Cybereason, déclare : « Une partie de la beauté des systèmes de paiement réside dans leur simplicité et leur facilité d’utilisation : il y a aussi peu de « clics » que possible ou de défis ajoutés au flux d’achat. Cependant, PayPal ne peut tenter que quelques solutions à ce problème. Tout d’abord, il peut ajouter une authentification multifactorielle, soit par l’ajout d’un défi, soit par la mise en place de facteurs d’authentification non interruptifs. C’est ce qu’elle fait dans une certaine mesure, mais le simple succès de 35 000 compromissions indique que des améliorations pourraient être apportées. Deuxièmement, l’entreprise peut également ajouter plus d’analyses pour examiner les modèles d’exploitation, bien que cela ait un effet limité puisque les attaquants peuvent simplement ralentir et changer les modèles de « stuffing » assez simplement d’un point de vue opérationnel. En fin de compte, cependant, les utilisateurs doivent participer à leur propre sauvetage dans une certaine mesure et faire tourner les mots de passe, utiliser des coffres-forts de mots de passe, utiliser des mots de passe uniques et ainsi de suite ; donc finalement PayPal peut avoir un programme pour aider les utilisateurs à faire cela au-delà de la simple surveillance du crédit.«
Patrick Wragg, responsable de la réponse aux cyberincidents chez Integrity360, convient que les utilisateurs doivent intensifier leurs propres efforts en matière de sécurité : « Le fait d’être la proie du « credential stuffing » (tel que rapporté) souligne l’importance d’une solution MFA (Multi-Factor Authentication) robuste. Chaque incident de credential stuffing rencontré par l’équipe IR d’Integrity360 montre que les victimes choisissent toujours des mots de passe faciles à retenir (et donc à deviner). L’ajout de l’étape de sécurité supplémentaire qu’est la MFA signifie que la force du mot de passe n’est pas le seul obstacle que les attaquants doivent franchir. »
Julia O’Toole, PDG de MyCena Security Solutions, souligne le rôle des données extraites du Dark Web :
Il s’agit encore d’une autre attaque par « credential stuffing » qui a été annoncée ces derniers jours, et elle montre une fois de plus comment les attaquants récupèrent constamment des données sur le Dark Web pour exploiter davantage les informations compromises.
PayPal a déclaré qu’elle n’avait aucune preuve de l’utilisation malveillante des comptes d’utilisateurs, mais cela ne devrait guère rassurer les victimes. Les attaquants peuvent maintenant cibler ces victimes avec des courriels de phishing et des escroqueries d’usurpation d’identité et utiliser à nouveau ces mots de passe sur d’autres sites.PayPal demande instamment aux utilisateurs qui ont reçu une notification indiquant que leur compte a été violé de modifier les mots de passe de leurs autres comptes en ligne et d’activer la fonction 2FA sur PayPal dans le menu des paramètres du compte.
Source : Paypal