PayPal a commenc envoyer des notifications de violation de donnes des milliers de ses utilisateurs dont les comptes ont t accessibles via des attaques par credential stuffing qui ont expos certaines donnes personnelles. Prs de 35 000 comptes ont t compromis dans l’attaque qui a eu lieu entre le 6 et le 8 dcembre 2022.
PayPal dit avoir pris des mesures pour limiter l’accs des intrus et rinitialiser les mots de passe des comptes viols. « Nous n’avons aucune information suggrant qu’une de vos informations personnelles a t utilise mauvais escient la suite de cet incident, ou qu’il y a des transactions non autorises sur votre compte« , peut-on lire dans l’avis de la socit aux utilisateurs concerns.
Sam Curry, responsable de la scurit chez Cybereason, dclare : « Une partie de la beaut des systmes de paiement rside dans leur simplicit et leur facilit d’utilisation : il y a aussi peu de « clics » que possible ou de dfis ajouts au flux d’achat. Cependant, PayPal ne peut tenter que quelques solutions ce problme. Tout d’abord, il peut ajouter une authentification multifactorielle, soit par l’ajout d’un dfi, soit par la mise en place de facteurs d’authentification non interruptifs. C’est ce qu’elle fait dans une certaine mesure, mais le simple succs de 35 000 compromissions indique que des amliorations pourraient tre apportes. Deuximement, l’entreprise peut galement ajouter plus d’analyses pour examiner les modles d’exploitation, bien que cela ait un effet limit puisque les attaquants peuvent simplement ralentir et changer les modles de « stuffing » assez simplement d’un point de vue oprationnel. En fin de compte, cependant, les utilisateurs doivent participer leur propre sauvetage dans une certaine mesure et faire tourner les mots de passe, utiliser des coffres-forts de mots de passe, utiliser des mots de passe uniques et ainsi de suite ; donc finalement PayPal peut avoir un programme pour aider les utilisateurs faire cela au-del de la simple surveillance du crdit.«
Patrick Wragg, responsable de la rponse aux cyberincidents chez Integrity360, convient que les utilisateurs doivent intensifier leurs propres efforts en matire de scurit : « Le fait d’tre la proie du « credential stuffing » (tel que rapport) souligne l’importance d’une solution MFA (Multi-Factor Authentication) robuste. Chaque incident de credential stuffing rencontr par l’quipe IR d’Integrity360 montre que les victimes choisissent toujours des mots de passe faciles retenir (et donc deviner). L’ajout de l’tape de scurit supplmentaire qu’est la MFA signifie que la force du mot de passe n’est pas le seul obstacle que les attaquants doivent franchir. »
Julia O’Toole, PDG de MyCena Security Solutions, souligne le rle des donnes extraites du Dark Web :
Il s’agit encore d’une autre attaque par « credential stuffing » qui a t annonce ces derniers jours, et elle montre une fois de plus comment les attaquants rcuprent constamment des donnes sur le Dark Web pour exploiter davantage les informations compromises.
PayPal a dclar qu’elle n’avait aucune preuve de l’utilisation malveillante des comptes d’utilisateurs, mais cela ne devrait gure rassurer les victimes. Les attaquants peuvent maintenant cibler ces victimes avec des courriels de phishing et des escroqueries d’usurpation d’identit et utiliser nouveau ces mots de passe sur d’autres sites.
PayPal demande instamment aux utilisateurs qui ont reu une notification indiquant que leur compte a t viol de modifier les mots de passe de leurs autres comptes en ligne et d’activer la fonction 2FA sur PayPal dans le menu des paramtres du compte.
Source : Paypal
Et vous ?
Que pensez-vous des informations fournies dans ce rapport ?
Pensez-vous que l’utilisation de l’authentification multi-facteur permet de mieux scuriser les comptes Paypal ?
Voir aussi :
PayPal lance les Passkeys, conus pour remplacer les mots de passe
L’authentification multi-facteurs en vaut-elle la peine ? plusieurs utilisateurs dclarent que l’AMF a empch la compromission de leur compte