Un attacco hacker a PayPal ha colpito circa 35.000 utenti che si sono ritrovati richieste non autorizzare di accesso sul proprio profilo. I fatti risalgono al mese di dicembre, nel corso del quale i tentativi di entrata da parte dei malintenzionati hanno fatto registrare numeri non da poco. La piattaforma di pagamento ha fatto sapere che l’attacco è stato sotto forma di Credential Stuffing.

Attacco hacker a PayPal

Ovviamente il tutto è stato tenuto “nascosto” dalla stessa PayPal, che ha indagato su quanto successo e per far chiarezza su come gli stessi hacker siano riusciti ad accedere ai vari account. Non si tratta certamente di una novità questa tipologia di attacco nel mondo informatico, il Credential Stuffing avviene quando un malintenzionato entra in possesso di vari dati sensibili degli utenti di un determinato sito attraverso un Data Breach, sfruttando la pigrizia degli stessi utenti che si registrano su più siti utilizzando gli stessi dati.

In particolare l’indagine di PayPal, dopo una serie di ricerche e investigazioni, è arrivata alla conclusione che persone non autorizzate hanno tentato l’accesso sugli account dei loro utenti utilizzando delle credenziali corrette, e ora ha fatto sapere che non si è trattato di una violazione dei propri sistemi fino a prova contraria. In particolare, il rapporto spiega che sono stati coinvolti 34.942 utenti e, in particolare, i dati ai quali hanno avuto accesso gli hacker sono stati:

  • Nome completo
  • Data di Nascita
  • Codice Fiscale/Numero di previdenza sociale
  • Indirizzo postale
  • Cronologia delle transazioni
  • Dettagli di Carte di Credito/Debito collegate
  • Dati di Fatturazione di Paypal

Ovviamente, oltre a questo, erano disponibili le funzioni basi, tra cui mandare e ricevere denaro, anche se, come riportato dalla stessa PayPal, non ci sono stati tentativi di transazioni indesiderate. La piattaforma di pagamenti elettronici ha preso dei provvedimenti al fine di limitare questi accessi non autorizzati, reimpostando le password degli account delle vittime, e avvisando gli utenti della violazione e delle azioni intraprese.