Outre le conseil de changer les mots de passe, les clients PayPal concernés recevront également deux ans de service de suivi gratuit.
Un peu moins de 35 000 clients du service de paiement PayPal ont été victimes d’une attaque par « credential stuffing » (bourrage d’identifiants). Dans ce type d’attaque, les pirates utilisent des détails de connexion volés et essaient au hasard ces détails pour pirater des comptes. Les attaquants profitent des fuites sur divers sites web pour obtenir les données de connexion. Après quoi, ils utilisent des bots sur d’autres sites web en espérant pêcher un poisson. Leur attaque vise principalement les personnes utilisant le même mot de passe sur différents comptes.
Cadeau de Saint-Nicolas
Dans une lettre adressée à ses clients (concernés), PayPal donne plus d’explications sur cette attaque. Elle a eu lieu entre le 6 et le 8 décembre 2022, selon la plate-forme de paiement électronique. Dès que l’entreprise a détecté l’attaque, elle a pris les mesures nécessaires et a lancé une enquête. Le 20 décembre, PayPal a conclu que des tiers non autorisés avaient accédé aux comptes via des identifiants de connexion validés. La société a souligné que la violation n’était pas due à une faille dans son système.
« Nous n’avons aucune preuve que les attaquants ont obtenu les données directement par notre moyen », indique le communiqué. Selon PayPal, 34 942 clients ont été victimes de l’incident. Pendant deux jours, les attaquants ont eu accès aux noms, dates de naissance, adresses postales, numéros de sécurité sociale et même aux données fiscales individuelles des clients. En outre, les pirates avaient une visibilité sur l’historique des transactions, les cartes de crédit liées, les détails du paiement et les informations de facturation.
Réinitialisation des mots de passe et surveillance
Selon PayPal, elle a rapidement pris des précautions pour limiter l’accès des intrus à la plate-forme et réinitialiser les mots de passe des comptes concernés. Pourtant, selon le service de paiement, les attaquants n’ont pas tenté, ou du moins pas réussi, à effectuer des transactions avec les comptes PayPal affectés. « Nous avons réinitialisé les mots de passe des comptes concernés et mis en place des contrôles de sécurité renforcés », a déclaré PayPal.
L’entreprise conseille aux clients concernés de remplacer les mots de passe des autres comptes en ligne par une chaîne de caractères unique et longue. Un bon mot de passe contient généralement au moins 12 caractères, dont des caractères alphanumériques et des symboles. En outre, PayPal offre aux clients concernés deux ans de suivi via Equifax. PayPal conseille aux utilisateurs d’activer l’authentification à deux facteurs via le menu Paramètres. Ainsi, les pirates, même avec des informations d’identification valides, ne devraient pas pouvoir avoir accès aux données des clients.