La semaine dernière, la plateforme de paiement PayPal a informé des utilisateurs d’un incident de sécurité. Des tiers non autorisés ont pu avoir accès à leurs comptes en utilisant leurs identifiants de connexion.
Ce sont près de 35 000 comptes PayPal (34 942 comptes exactement) qui sont concernés, sachant que PayPal revendique 432 millions de comptes actifs au 30 septembre 2022. Les données potentiellement exposées sont le nom, l’adresse, le numéro de sécurité sociale, le numéro d’identification fiscale, la date de naissance.
Dans sa missive reçue par des utilisateurs américains, PayPal indique que les accès non autorisés ont eu lieu en décembre dernier. Les mots de passe des comptes PayPal affectés ont été réinitialisés et des contrôles de sécurité renforcés ont été mis en place.
Encore du bourrage d’identifiants
Ce n’est pas un piratage de PayPal ou une compromission de ses systèmes, mais une attaque de type credential stuffing qui a eu lieu. Un tel bourrage d’identifiants a récemment fait parler de lui avec la compromission de plusieurs milliers de comptes Norton LifeLock.
Hasard du calendrier ou pas… c’était également pour des cyberattaques menées en décembre. Le credentiel stuffing s’appuie sur l’exploitation d’identifiants volés après des fuites de données pour des services tiers. Ils sont par exemple trouvés sur le Dark Web.
PayPal indique que l’intrusion a été bloquée en deux jours et assure qu’il n’y a pas eu de tentative de transaction frauduleuse. Une situation qui appelle toutefois à la vigilance, alors que les utilisateurs concernés bénéficient de deux années gratuites à un service de surveillance d’identité.
Une piqûre de rappel
Ce type d’affaire rappelle une nouvelle fois l’intérêt d’une authentification à plusieurs facteurs afin d’ajouter une couche de protection supplémentaire. Par ailleurs, il ne faut pas céder à la tentation de réutiliser de mêmes mots de passe pour plusieurs comptes. D’autant plus avec des comptes sensibles.
Malgré les propos rassurants de PayPal pour les utilisateurs concernés, BleepingComputer s’inquiète cependant que l’historique des transactions, les détails de cartes de paiement associées et des données de facturation sont aussi accessibles sur les comptes PayPal.