¿Lo que acaba de suceder? PayPal informa a miles de usuarios que sus cuentas fueron violadas el mes pasado después de que los piratas informáticos usaran un ataque de relleno de credenciales. Se estima que la información personal de casi 35.000 personas quedó expuesta en el incidente.
PayPal dice que personas no autorizadas accedieron a las cuentas y pudieron adivinar las credenciales de los usuarios, muy probablemente utilizando filtraciones masivas de datos de otros sitios. Destaca los peligros que surgen cuando las personas reutilizan sus combinaciones de nombre de usuario/contraseña de inicio de sesión en varios sitios web. El reciclaje de contraseñas sigue siendo preocupantemente común y se puede evitar usando un buen administrador de contraseñas.
Este tipo de ataque recibe su nombre de los bots que ejecutan listas de credenciales en los sitios, rellenando los portales de inicio de sesión hasta que obtienen acceso. PayPal dice que el ataque tuvo lugar entre el 6 y el 8 de diciembre de 2022 y afectó a 34.942 clientes. La compañía enfatiza que el incidente no se debió a una violación de sus propios sistemas y no hay evidencia de que las credenciales de usuario hayan sido robadas de ningún sistema de PayPal.
La información a la que se accedió incluía nombres de clientes, direcciones, números de Seguro Social, números de identificación fiscal individuales y fechas de nacimiento. PayPal dijo que no tiene información de que alguno de estos datos haya sido mal utilizado. En particular, no hay evidencia de transacciones de pago no autorizadas en las cuentas violadas.
PayPal dijo que inició rápidamente una investigación una vez que se descubrió el acceso no autorizado. También tomó medidas para evitar que se robara más información del cliente, probables pagos y detalles de la cuenta. La empresa restableció las contraseñas de las cuentas afectadas e "implementó controles de seguridad mejorados".
Estos incidentes generalmente involucran a la empresa víctima informando a la policía, pero The Reg informa que PayPal no ha involucrado a la policía. La publicación le preguntó a PayPal por qué, pero nunca respondió.
PayPal dice que ofrecerá a los clientes dos años de monitoreo de identidad de Equifax, una compañía que no es ajena a las violaciones de datos (y que una vez envió puntajes de crédito incorrectos ). El gigante de los pagos también aconseja a los usuarios afectados que activen la protección de autenticación de dos factores (2FA) en sus cuentas y cambien las credenciales de PayPal recicladas utilizadas en otros sitios web o servicios.
