A empresa diz ter eliminado o acesso não autorizado de terceiros. No entanto, durante esse período, nomes, endereços, números de seguro social, números de identificação de contribuinte e datas de nascimento podem ter sido acessados pelos autores do ataque.
Por Redação, com Tecnoblog - de Brasília
Um ataque ao PayPal em dezembro de 2022 deu acesso não autorizado a quase 35 mil contas do serviço de pagamentos. Nomes, endereços e números de documentos foram expostos. A empresa está enviando notificações de vazamento de dados aos clientes afetados. Entre as recomendações, estão trocar de senha e ativar a autenticação de dois fatores.
O PayPal diz ter confirmado os acessos não autorizados a 34.942 contas em 20 de dezembro. Eles teriam ocorrido, segundo a investigação, entre os dias 6 e 8 daquele mesmo mês.
A empresa diz ter eliminado o acesso não autorizado de terceiros. No entanto, durante esse período, nomes, endereços, números de seguro social, números de identificação de contribuinte e datas de nascimento podem ter sido acessados pelos autores do ataque.
Invasão usou credential stuffing
Segundo a empresa, não há indícios de que as informações de login tenham sido obtidas do próprio sistema. Em vez disso, parece que elas vieram de outros vazamentos e foram usadas no PayPal de maneira automatizada.
Esta técnica é conhecida como credential stuffing e consiste em usar informações que vazaram para tentar acessar contas em outros sites.
Se algum usuário usava a mesma combinação de nome de usuário e senha no PayPal e no serviço de onde os dados foram obtidos, os agentes mal-intencionados conseguiam acessar o cadastro.
Por isso, o PayPal recomenda que os usuários afetados troquem a senha tanto na plataforma quanto em outros serviços em que ela era utilizada.
E é sempre bom reforçar que reutilizar senhas é uma péssima prática. Um gerenciador pode ajudar você a criar e salvar com seguranças combinações diferentes para cada site, loja, rede social e assim por diante.
PayPal paga serviço antifraude para clientes nos EUA
O site Bleeping Computer teve acesso à mensagem que está sendo enviada aos usuários afetados. Como parte das medidas para corrigir o problema, o PayPal está oferecendo aos usuários dois anos do serviço de monitoramento de identidade da Equifax, bureau de crédito parecido com a Serasa que atua nos EUA.
O PayPal também recomenda ativar a autenticação em dois fatores na conta. Outras sugestões são tomar cuidado com links recebidos por e-mail e mensagens que exigem ação imediata, características típicas de golpes.