PayPal sta avvisando gli utenti di una violazione dei dati e sta inviando notifiche a migliaia di utenti che hanno subito l’hacking dei loro conti attraverso un attacco di credential-stuffing che ha esposto i dati personali degli utenti.
PayPal ha reso noto che circa 35.000 utenti della piattaforma di pagamento hanno subito una violazione dei loro account e i dati personali sono stati ottenuti dagli hacker attraverso un attacco noto come “credential padding”.
In questo tipo di attacco, i criminali informatici testano le informazioni dell’utente rubate da altri database per cercare di accedere ad altri servizi e colpisce coloro che utilizzano la stessa password in diversi account online di varie piattaforme.
I dati principali utilizzati in questo tipo di attacco provengono solitamente da invasioni di database privati e pubblici, le cui informazioni sono spesso scambiate sul dark web. Gli hacker utilizzano i bot per aggirare le tradizionali protezioni di login.
Secondo PayPal, l’attacco di credential padding è avvenuto tra il 6 e l’8 dicembre dello scorso anno e un’indagine interna della piattaforma ha evidenziato che almeno 34.942 utenti hanno subito una violazione dei dati.
L’azienda ha dichiarato che gli hacker sono stati in grado di accedere a informazioni quali i nomi completi dei titolari dei conti, le date di nascita, gli indirizzi postali e alcuni numeri di documenti. PayPal ha inoltre dichiarato che sono state adottate misure preventive.
Secondo l’azienda, tutte le persone colpite riceveranno un monitoraggio gratuito dell’identità per due anni da parte dell’ufficio crediti Equifax. Infine, PayPal raccomanda agli utenti che ricevono un avviso dalla società di cambiare le password di tutti i conti online.
La raccomandazione si estende all’utilizzo di una stringa unica con almeno 12 caratteri alfanumerici e simboli. PayPal consiglia inoltre di attivare l’autenticazione a due fattori sulla piattaforma.