.
As informações pessoais de 35.000 usuários do PayPal foram expostas em dezembro, de acordo com uma carta de notificação enviada aos clientes da empresa de pagamentos online nesta semana.
O PayPal atribuiu essa violação de privacidade a “partes não autorizadas”, que acessaram contas usando credenciais de login do cliente. Ou seja, quem entrou nas contas descobriu ou adivinhou os nomes de usuário e senhas de suas vítimas, possivelmente pegando os créditos de outro site onde as pessoas reutilizaram os mesmos detalhes de login.
É por isso que é importante usar uma senha exclusiva por site ou aplicativo que você usa.
As informações enviadas ao procurador-geral do estado americano do Maine revelaram que esse ataque de preenchimento de credenciais afetou 34.942 clientes em 6 de dezembro.
As informações expostas incluíam nomes de clientes, endereços, números de CPF, números de identificação fiscal individual e datas de nascimento.
“Não temos informações que sugiram que qualquer uma de suas informações pessoais tenha sido mal utilizada como resultado deste incidente ou que haja transações não autorizadas em sua conta”, diz a carta de notificação. [PDF] disse. “Também não há evidências de que suas credenciais de login foram obtidas de qualquer sistema do PayPal.”
Ao descobrir a invasão de contas no final do mês, o PayPal disse que “prontamente” iniciou uma investigação e tomou medidas para impedir que os criminosos roubassem informações adicionais dos clientes – como informações de contas bancárias, presumimos. Além disso, a empresa de pagamento redefiniu as senhas pertencentes às contas do PayPal afetadas e “implementou controles de segurança aprimorados”.
O PayPal não informou as autoridades sobre a confusão de segurança, de acordo com a notificação.
O golias financeiro não abordou Strong The Onesobre, entre outras coisas, por que não envolveu os policiais e quais são algumas das medidas de segurança aprimoradas que implementou desde a descoberta do ataque. Em vez disso, um spinner nos disse:
O PayPal está oferecendo aos clientes afetados dois anos de serviços gratuitos da Equifax, embora a empresa de monitoramento de crédito também não tenha o melhor histórico quando se trata de proteger os dados do cliente.
Em 2017, a Equifax foi comprometida em um ataque cibernético que a empresa atribuiu para os militares chineses em que os invasores roubaram informações pessoais pertencentes a cerca de 146,6 milhões de pessoas nos EUA, Canadá e Reino Unido.
Esta última confusão também aconteceu alguns meses depois que o PayPal implementou chaves de acesso adicionais para login sem senha para contas em dispositivos Apple em um movimento para fornecer aos clientes um método de autenticação mais seguro em comparação com senhas.
Segundo a Microsoft, 579 ataques envolvendo senhas ocorrem a cada segundo, ou cerca de 18 bilhões por ano. Muitos deles são bem-sucedidos, principalmente porque as pessoas tendem a escolher senhas ruins ou reutilizá-las em várias contas.
A autenticação multifator poderia ter evitado esse e outros ataques semelhantes de preenchimento de credenciais, de acordo com Timothy Morris, consultor-chefe de segurança da Tanium.
“Este é um problema predominante onde os usuários estão usando as mesmas combinações de id/senha para vários sites e aplicativos”, disse ele Strong The Oneacrescentando que as informações roubadas dos clientes do PayPal podem ser usadas para roubo de identidade ou vendidas em fóruns de hackers.
“O preenchimento de credenciais é bem-sucedido porque muitas dessas combinações estão na dark web de violações anteriores”, disse Morris. ®
.
