PayPal mengirimkan pemberitahuan pelanggaran data ke ribuan pengguna yang akunnya diakses melalui serangan isian kredensial yang mengungkap beberapa data pribadi.
Credential stuffing adalah serangan dimana hacker mencoba mengakses akun dengan mencoba pasangan username dan password yang bersumber dari kebocoran data di berbagai website.
Jenis serangan ini bergantung pada pendekatan otomatis dengan bot menjalankan daftar kredensial untuk “memasukkan” ke portal masuk untuk berbagai layanan.
Pengisian kredensial menargetkan pengguna yang menggunakan kata sandi yang sama untuk beberapa akun online, yang dikenal sebagai “daur ulang kata sandi”.
PayPal menjelaskan bahwa serangan isian kredensial terjadi antara 6 Desember dan 8 Desember 2022. Perusahaan mendeteksi dan menguranginya pada saat itu, tetapi juga memulai penyelidikan internal untuk mengetahui bagaimana peretas memperoleh akses ke akun.
Pada 20 Desember 2022, PayPal menyelesaikan penyelidikannya, mengonfirmasi bahwa pihak ketiga yang tidak sah masuk ke akun dengan kredensial yang valid.
Platform pembayaran elektronik mengklaim bahwa ini bukan karena pelanggaran pada sistemnya dan tidak memiliki bukti bahwa kredensial pengguna diperoleh langsung dari mereka.
Menurut pelaporan pelanggaran data dari PayPal, 34.942 penggunanya terkena dampak insiden tersebut. Selama dua hari, peretas memiliki akses ke nama lengkap pemegang akun, tanggal lahir, alamat pos, nomor jaminan sosial, dan nomor identifikasi pajak individu.
Riwayat transaksi, perincian kartu kredit atau debit yang terhubung, dan data faktur PayPal juga dapat diakses di akun PayPal.
PayPal mengatakan perlu tindakan tepat waktu untuk membatasi akses penyusup ke platform dan mengatur ulang kata sandi akun yang dikonfirmasi telah dilanggar.
Selain itu, pemberitahuan tersebut mengklaim bahwa penyerang belum mencoba atau tidak berhasil melakukan transaksi apa pun dari akun PayPal yang dilanggar.
Selengkapnya: Bleeping Computer
