Miles de cuentas de PayPal pirateadas: ¿la suya es una de ellas?
PayPal en sí no ha sido violado. pero miles de cuentas de clientes tienen.
SOPA Images/LightRocket a través de Getty Images
Según un aviso de incidente de seguridad de PayPal con fecha del 18 de enero, los atacantes obtuvieron acceso no autorizado a las cuentas de miles de usuarios entre el 6 y el 8 de diciembre de 2022. El número total de cuentas a las que accedieron los actores de amenazas mediante un ataque de relleno de credenciales se informa como siendo 34.942.
¿Qué es un ataque de relleno de credenciales?
Un ataque de relleno de credenciales ocurre cuando un actor de amenazas utiliza un proceso automatizado para intentar iniciar sesión en un servicio con credenciales que se han reutilizado entre cuentas y posteriormente violadas en una de ellas. Esta es la razón por la cual los expertos en seguridad hacen todo lo posible para desaconsejar dicha reutilización de contraseñas.
La notificación oficial, que se envió a todos los titulares de cuentas afectados, establece que la confirmación de los ataques se realizó el 20 de diciembre. Continúa diciendo que PayPal "no tiene información que sugiera que su información personal haya sido utilizada indebidamente como resultado de este incidente, o que hay transacciones no autorizadas en su cuenta". El acceso a las cuentas afectadas fue "eliminado para terceros no autorizados" el 8 de diciembre.
¿Qué acceso obtuvieron los atacantes a las cuentas de PayPal afectadas?
Si bien PayPal no tiene evidencia de que se hayan realizado transacciones no autorizadas, los atacantes, dice, potencialmente tuvieron acceso a datos personales, incluidos "nombre, dirección, número de seguro social, número de identificación fiscal individual y/o fecha de nacimiento".
PayPal ofrece a los clientes afectados dos años de acceso gratuito a los servicios de control de identidad proporcionados por Equifax.
Los clientes que no hayan recibido el aviso de incidente de seguridad de PayPal no se verán afectados por este ataque concertado de relleno de credenciales en particular. Sin embargo, si está utilizando credenciales de inicio de sesión que también usa en otros lugares, se le recomienda cambiar a contraseñas únicas y seguras en todos esos servicios. Un administrador de contraseñas, como 1Password o BitWarden, puede ayudar a que este ejercicio sea relativamente sencillo.
No reutilices las contraseñas, utiliza la autenticación de dos factores
Timothy Morris, el principal asesor de seguridad de Tanium, aconseja a los usuarios que habiliten la autenticación de dos factores donde esté disponible: " Strong MFA incluye la trifecta de algo que sabe (id/contraseña/secreto), tiene (token, clave) y es (biometría La Dra. Ilia Kolochenko, fundadora de ImmuniWeb y miembro de la red de expertos en protección de datos de Europol, está sorprendida de "por qué la autenticación MFA no se aplica de forma predeterminada para un servicio tan sensible como PayPal".
MÁS DE FORBESBóvedas de contraseñas LastPass robadas por piratas informáticos: cambie su contraseña maestra ahoraPor Davey Winder
"Las infracciones de alto perfil deben servir como una llamada de atención para que las organizaciones grandes y pequeñas implementen una arquitectura de confianza cero, habiliten MFA y usen contraseñas seguras y únicas", Craig Lurey, director de tecnología y cofundador de Keeper. Seguridad dice.
Mientras tanto, Jasson Casey, director de tecnología de Beyond Identity, va más allá y argumenta que "no puedes tener una seguridad efectiva si todavía estás usando contraseñas". Si bien acepta que PayPal aparentemente está haciendo lo mejor que puede para los clientes involucrados en este incidente de seguridad al recomendar cambios de contraseña, Casey insiste en que "las contraseñas, ya sean únicas o complejas, son fundamentalmente defectuosas". En su lugar, dice Casey, las organizaciones deberían cambiar a credenciales resistentes al phishing, como los planos estándar de FIDO Alliance. "La pregunta es", concluye Casey, "¿cuántos ataques más basados en credenciales se necesitarán antes de que veamos un cambio real?".
