PayPal a commencé à envoyer notifications de violation de données aux utilisateurs du service de paiement en ligne dont les comptes ont été consultés par des pirates en décembre de l’année dernière.
Dans ce cas, les systèmes internes de l’entreprise n’ont pas été piratés et les pirates à l’origine de cette attaque ont utilisé le credential stuffing pour accéder aux comptes de près de 35 000 clients selon BipOrdinateur (s’ouvre dans un nouvel onglet).
Dans un Avis d’incident de sécurité (s’ouvre dans un nouvel onglet) envoyé aux clients concernés, PayPal a expliqué que l’attaque elle-même avait eu lieu entre le 6 et le 8 décembre de l’année dernière. L’entreprise a détecté que l’attaque était en cours et a pris des mesures pour l’atténuer à ce moment-là. Cependant, PayPal a également lancé une enquête interne pour savoir comment les pirates responsables ont pu accéder aux comptes de ses clients.
Bien que la société affirme que les pirates n’ont pu effectuer aucune transaction à l’aide des comptes piratés, ils ont réussi à voler un certain nombre d’informations sensibles aux clients concernés, notamment leurs noms complets, dates de naissance, adresses physiques, Numéros de sécurité sociale et les numéros d’identification fiscale.
Bourrage d’informations d’identification
L’enquête de PayPal a révélé que les pirates à l’origine de cette attaque utilisaient bourrage d’informations d’identification comme moyen d’accéder aux comptes clients. Contrairement à une violation de données, cette méthode d’attaque utilise des informations d’identification existantes flottant déjà sur le dark web.
Les attaques de credential stuffing s’appuient souvent sur l’automatisation pour casser le compte d’un utilisateur en utilisant des bots avec des listes de noms d’utilisateur et de mots de passe acquis lors de précédentes violations de données. Ces bots essaient les informations d’identification sur plusieurs services en ligne dans l’espoir que les clients n’ont pas récemment changé leurs mots de passe.
C’est pourquoi réutilisation du mot de passe – où une personne utilise le même mot de passe sur plusieurs comptes – est si dangereux. Si un site ou un service est piraté et qu’un pirate obtient votre mot de passe, il essaie ensuite de l’utiliser pour se connecter à vos autres comptes.
Que faire ensuite si votre compte PayPal a été piraté
Si vous avez reçu un message de PayPal indiquant que votre compte a été piraté par des pirates, la société a déjà réinitialisé votre mot de passe. Ainsi, la prochaine fois que vous vous connecterez, vous devrez créer un mot de passe fort, complexe et unique pour votre compte. Cela peut également être fait avec l’un des meilleurs gestionnaires de mots de passe car ils peuvent générer des mots de passe forts pour vous. Cependant, beaucoup d’entre eux offrent également générateurs de mots de passe gratuits en ligne.
Comme les pirates peuvent faire beaucoup avec votre nom, votre date de naissance, votre adresse et votre numéro de sécurité sociale, PayPal offre deux ans de surveillance d’identité gratuite à partir de Équifax. Toutefois, si vous souhaitez encore plus de protection, vous pouvez vous inscrire à l’un des meilleurs services de protection contre le vol d’identité car ils surveillent votre identité tout en fournissant de l’argent d’assurance en cas d’usurpation d’identité. Si cela se produit, ces fonds peuvent être utilisés pour récupérer votre identité, obtenir de nouveaux documents et couvrir tout autre coût lié au vol d’identité.
PayPal vous recommande également d’activer l’authentification à deux facteurs (2FA) pour votre compte, ce qui peut aider à empêcher un pirate d’y accéder même s’il met la main sur vos informations d’identification.
La réutilisation des mots de passe reste un gros problème malgré les risques, mais j’espère que cet incident aidera à convaincre davantage de personnes d’utiliser des mots de passe forts, complexes et uniques pour chacun de leurs comptes en ligne, en particulier leurs comptes financiers.