PayPal a lancé un avertissement à certains de ses clients, les informant que leurs comptes ont été violés et que certaines données sensibles ont été compromises. Dans son rapport, la société a confirmé que le 20 décembre 2022, un tiers non autorisé a accédé à un certain nombre de comptes PayPal. Une enquête plus approfondie a révélé que la personne à l’origine de l’attaque a accédé aux comptes entre le 6 et le 8 décembre 2022.
« Pendant cette période, les tiers non autorisés ont pu consulter, et potentiellement acquérir, des informations personnelles concernant certains utilisateurs de PayPal », indique l’avertissement. Ces données comprennent les noms, adresses, numéros de sécurité sociale, numéros d’identification fiscale individuels et/ou dates de naissance des utilisateurs.
PayPal n’a pas expliqué exactement comment les attaquants ont réussi à accéder à ces comptes, si ce n’est qu’il n’y a « aucune preuve » que les identifiants de connexion ont été extraits des systèmes de l’entreprise.
Selon BleepingComputer, la violation est le résultat d’un credential stuffing (ou bourrage d’identifiant), un type d’attaque dans lequel les pirates « bourrent » la page de connexion avec de nombreux identifiants pris ailleurs jusqu’à ce qu’un seul fonctionne.
Cette méthode consiste à utiliser les mêmes mots de passe pour plusieurs services, de sorte que si l’un d’entre eux est violé, tous sont en danger. Le même rapport affirme également que 34 942 comptes ont été compromis et que l’historique des transactions, les détails des cartes de crédit ou de débit connectées et les données de facturation de PayPal ont probablement été consultés.
PayPal a réinitialisé les mots de passe des utilisateurs concernés
Reste à savoir ce que les pirates vont faire des données obtenues lors de l’attaque. Pour l’instant, PayPal ne dispose d’aucune preuve que les données ont été utilisées à mauvais escient, mais on peut supposer qu’elles seront utilisées dans le cadre d’une usurpation d’identité, d’un phishing ou d’autres formes d’attaques.
Afin de protéger ses utilisateurs, PayPal a réinitialisé les mots de passe des utilisateurs concernés et a « renforcé les contrôles de sécurité », obligeant les utilisateurs à créer un nouveau compte lors de leur prochaine connexion. En outre, les utilisateurs ont reçu un an de services gratuits de contrôle d’identité par Equifax.