Qu’est-ce qui vient de se passer? PayPal informe des milliers d’utilisateurs que leurs comptes ont été piratés le mois dernier après que des pirates ont utilisé une attaque de bourrage d’informations d’identification. On estime que les informations personnelles de près de 35 000 personnes ont été exposées lors de l’incident.
PayPal affirme que les comptes ont été consultés par des parties non autorisées qui ont pu deviner les informations d’identification des utilisateurs, très probablement en utilisant des fuites de données massives provenant d’autres sites. Il met en évidence les dangers liés aux personnes qui réutilisent leurs combinaisons nom d’utilisateur/mot de passe de connexion sur plusieurs sites Web. Le recyclage des mots de passe est encore assez courant et peut être évité en utilisant un bon gestionnaire de mots de passe.
Ce type d’attaque tire son nom des bots qui exécutent des listes d’informations d’identification sur les sites, remplissant les portails de connexion jusqu’à ce qu’ils y accèdent. PayPal affirme que l’attaque a eu lieu entre le 6 décembre et le 8 décembre 2022, affectant 34 942 clients. La société souligne que l’incident n’était pas dû à une violation de ses propres systèmes et qu’il n’y a aucune preuve que les informations d’identification de l’utilisateur aient été volées sur les systèmes PayPal.
Les informations consultées comprenaient les noms, adresses, numéros de sécurité sociale, numéros d’identification fiscale individuels et dates de naissance des clients. PayPal a déclaré ne disposer d’aucune information indiquant que l’une de ces données aurait été utilisée à mauvais escient. Notamment, il n’y a aucune preuve de transactions de paiement non autorisées sur les comptes piratés.
PayPal a déclaré avoir rapidement lancé une enquête une fois l’accès non autorisé découvert. Il a également pris des mesures pour empêcher que d’autres informations sur les clients, notamment les détails de paiement et de compte, ne soient volées. La société a réinitialisé les mots de passe des comptes concernés et “a mis en place des contrôles de sécurité renforcés”.
Ces incidents impliquent généralement l’entreprise victime informant les forces de l’ordre, mais The Reg rapports que PayPal n’a pas impliqué la police. La publication a demandé à PayPal pourquoi mais elle n’a jamais répondu.
PayPal dit qu’il offrira aux clients deux ans de surveillance d’identité d’Equifax, une entreprise qui n’est pas étrangère aux violations de données (et qui a déjà envoyé des cotes de crédit incorrectes). Le géant des paiements conseille également aux utilisateurs concernés d’activer la protection par authentification à deux facteurs (2FA) sur leurs comptes et de modifier les informations d’identification PayPal recyclées utilisées sur d’autres sites Web ou services.