PayPal está enviando advertencias de violación de datos a casi 35.000 usuarios cuyas cuentas se vieron comprometidas como resultado de un ataque generalizado de relleno de credenciales en diciembre del año pasado.
La empresa afirma que el ataque permitió a los piratas informáticos acceder a los datos personales de los usuarios, incluidos nombres, direcciones, fechas de nacimiento, números de identificación fiscal y números de la seguridad social.
A diferencia de las violaciones de datos, los ataques de relleno de credenciales utilizan credenciales que ya están disponibles en la web oscura.
Estos ataques a menudo se basan en la automatización para comprometer la cuenta de un usuario mediante el uso de bots que tienen acceso a bases de datos de nombres de usuario y contraseñas obtenidas de anteriores violaciones de datos. Estos bots prueban las credenciales en diversos servicios en línea con la esperanza de que los usuarios no hayan actualizado recientemente sus contraseñas.
PayPal afirma que el pirateo de las cuentas no se produjo como consecuencia de una violación de sus sistemas, y que no hay pruebas de que las credenciales fueran robadas directamente a los usuarios.
PayPal descubrió la brecha el 20 de diciembre, al descubrir que, entre el 6 y el 8 de diciembre, personas no autorizadas pudieron acceder a determinadas cuentas de usuarios de PayPal utilizando sus credenciales de acceso.
Los atacantes pudieron ver y tal vez obtener ciertos datos personales durante su acceso no autorizado.
Además de los datos personales de los usuarios, las cuentas PayPal también almacenan su historial de transacciones, los datos de las tarjetas de crédito o débito vinculadas e información sobre las facturas de PayPal.
PayPal puso en marcha una investigación tras tener conocimiento del acceso ilegal y adoptó medidas para hacer frente al incidente, entre ellas la adopción de medidas para impedir que actores no autorizados obtuvieran más información personal.
Cambió las contraseñas de todas las cuentas PayPal afectadas y puso en marcha medidas de seguridad mejoradas que obligan a los usuarios a crear nuevas contraseñas la próxima vez que inicien sesión en sus cuentas.
PayPal dijo que no tiene pruebas que sugieran que el incidente haya conducido al uso indebido de información personal. Añadió que los atacantes no han intentado ni completado con éxito ninguna transacción desde las cuentas PayPal comprometidas.
Un total de 34.942 usuarios de PayPal se han visto afectados por el incidente, según el informe de violación de datos de la empresa [pdf].
Dado que los nombres, fechas de nacimiento, direcciones y números de la seguridad social de los usuarios pueden ser utilizados por los piratas informáticos para diversos fines, PayPal ofrece dos años de supervisión gratuita de la identidad por parte de Equifax.
Además, se aconseja a los usuarios que apliquen la autenticación de dos factores (2FA) a sus cuentas, que dificulta mucho el acceso de los piratas informáticos a las cuentas aunque tengan las credenciales.
Fuente WEB | Editado por CambioDigital OnLine