PayPal hat mit dem Versand begonnen Benachrichtigungen über Datenschutzverletzungen an Nutzer des Online-Zahlungsdienstes, auf deren Konten Hacker im Dezember letzten Jahres zugegriffen hatten.
In diesem Fall wurden die internen Systeme des Unternehmens nicht verletzt und die Hacker hinter diesem Angriff nutzten Credential Stuffing, um auf die Konten von fast 35.000 Kunden zuzugreifen Piepender Computer (öffnet in neuem Tab).
In einem Benachrichtigung über Sicherheitsvorfall (öffnet in neuem Tab) an betroffene Kunden verschickt, erklärte PayPal, dass der Angriff selbst zwischen dem 6. und 8. Dezember letzten Jahres stattgefunden habe. Das Unternehmen erkannte, dass der Angriff stattfand, und ergriff zu diesem Zeitpunkt Maßnahmen, um ihn abzuschwächen. PayPal leitete jedoch auch eine interne Untersuchung ein, um herauszufinden, wie die verantwortlichen Hacker auf die Konten seiner Kunden zugreifen konnten.
Obwohl das Unternehmen behauptet, dass die Hacker keine Transaktionen mit den gehackten Konten durchführen konnten, gelang es ihnen, eine ganze Reihe sensibler Informationen von betroffenen Kunden zu stehlen, darunter ihre vollständigen Namen, Geburtsdaten, physischen Adressen, Sozialversicherungsnummern und Steueridentifikationsnummern.
Credential Stuffing
Die Untersuchung von PayPal ergab, dass die Hacker hinter diesem Angriff verwendet wurden Berechtigungsfüllung als Mittel zum Zugriff auf Kundenkonten. Im Gegensatz zu einer Datenpanne verwendet diese Angriffsmethode vorhandene Anmeldeinformationen, die bereits im Dark Web herumschwirren.
Credential-Stuffing-Angriffe verlassen sich häufig auf Automatisierung, um das Konto eines Benutzers zu knacken, indem Bots mit Listen von Benutzernamen und Passwörtern verwendet werden, die bei früheren Datenschutzverletzungen erworben wurden. Diese Bots testen die Anmeldeinformationen bei mehreren Onlinediensten in der Hoffnung, dass die Kunden ihre Passwörter nicht kürzlich geändert haben.
Deshalb Wiederverwendung von Passwörtern – wo eine Person dasselbe Passwort für mehrere Konten verwendet – ist so gefährlich. Wenn eine Website oder ein Dienst verletzt wird und ein Hacker an Ihr Passwort gelangt, versucht er, sich damit bei Ihren anderen Konten anzumelden.
Was als nächstes zu tun ist, wenn Ihr PayPal-Konto verletzt wurde
Wenn Sie eine Nachricht von PayPal erhalten haben, dass Ihr Konto von Hackern gehackt wurde, hat das Unternehmen Ihr Passwort bereits zurückgesetzt. Daher sollten Sie bei Ihrer nächsten Anmeldung ein starkes, komplexes und eindeutiges Passwort für Ihr Konto erstellen. Das geht auch mit einem der Die besten Passwort-Manager da sie starke Passwörter für Sie generieren können. Viele von ihnen bieten jedoch auch an Kostenlose Passwortgeneratoren online.
Da Hacker mit Ihrem Namen, Geburtsdatum, Ihrer Adresse und Ihrer Sozialversicherungsnummer ziemlich viel anfangen können, bietet PayPal zwei Jahre lang kostenlose Identitätsüberwachung an Equifax. Wenn Sie jedoch noch mehr Schutz wünschen, können Sie sich für eines der anmelden beste Dienste zum Schutz vor Identitätsdiebstahl da sie Ihre Identität überwachen und gleichzeitig Versicherungsgelder für den Fall bereitstellen, dass Ihre Identität gestohlen wird. In diesem Fall können diese Gelder verwendet werden, um Ihre Identität zurückzufordern, neue Dokumente zu erhalten und alle anderen Kosten im Zusammenhang mit Identitätsdiebstahl zu decken.
PayPal empfiehlt außerdem, dass Sie die Zwei-Faktor-Authentifizierung aktivieren (2FA) für Ihr Konto, wodurch verhindert werden kann, dass ein Hacker darauf zugreift, selbst wenn er Ihre Anmeldeinformationen in die Hände bekommt.
Die Wiederverwendung von Passwörtern ist trotz der Risiken immer noch ein großes Problem, aber hoffentlich wird dieser Vorfall dazu beitragen, mehr Menschen davon zu überzeugen, starke, komplexe und eindeutige Passwörter für jedes ihrer Online-Konten zu verwenden – insbesondere für ihre Finanzkonten.