De acuerdo con un Aviso de incidente de seguridad de PayPal del 18 de enero de los atacantes obtuvieron acceso no autorizado a las cuentas de miles de usuarios entre el 6 y el 8 de diciembre de 2022. El número total de cuentas a las que acceden los actores de amenazas a través de un ataque de relleno de credenciales es 34.942.
¿Qué es un ataque de relleno de credenciales?
Un ataque de relleno de credenciales ocurre cuando un actor malicioso utiliza un proceso automatizado para intentar iniciar sesión en un servicio con credenciales que se han reutilizado entre cuentas y posteriormente comprometidas en una de ellas. Para él, Los expertos en seguridad trabajan duro para desalentar este tipo de reutilización de contraseñas.
La notificación oficial, que se ha enviado a todos los titulares de cuentas afectados, afirma que la confirmación de los ataques se produjo el 20 de diciembre. Continúa diciendo que PayPal «no tiene información que sugiera que su información personal haya sido mal utilizada como resultado de este incidente, o que haya transacciones no autorizadas en su cuenta». El acceso a las cuentas afectadas fue «eliminado para terceros no autorizados» el 8 de diciembre.
¿Qué acceso obtuvieron los atacantes a las cuentas de PayPal afectadas?
Aunque PayPal no tiene conocimiento de ninguna transacción no autorizada, los atacantes, afirman, potencialmente tuvieron acceso a datos personales, tales como «nombre, dirección, número de seguro social, número de identificación fiscal individual y/o fecha de nacimiento.
PayPal ofrece a los clientes afectados dos años de acceso gratuito a los servicios de verificación de identidad proporcionados por Equifax.
Los clientes que no recibieron el Aviso de incidente de seguridad de PayPal no se verán afectados por este ataque concertado de relleno de credenciales. Sin embargo, si usa credenciales de inicio de sesión que también usa en otros sitios, se le recomienda cambiar a contraseñas seguras y únicas en todos esos servicios. Un administrador de contraseñas, como 1Password o Bitwarden, puede ayudarlo a hacer esto con bastante facilidad.
No reutilices las contraseñas, utiliza la autenticación de dos factores
Timothy Morris, asesor jefe de seguridad de Tanium, aconseja además a los usuarios que habiliten la autenticación de dos factores cuando esté disponible: » Strong MFA incluye la trifecta de algo que sabe (nombre de usuario/contraseña/secreto), tiene (token, clave) y es (biometría). La Dra. Ilia Kolochenko, fundadora de ImmuniWeb y miembro de la red Europol de expertos en protección de datos, se sorprende “por qué la autenticación MFA no se aplica por defecto en un servicio tan sensible como PayPal”.
«Las infracciones masivas deberían servir como una llamada de atención para que las empresas grandes y pequeñas implementen una arquitectura de confianza cero, habiliten MFA y usen contraseñas únicas y seguras», dijo Craig Lurey, CTO y cofundador de Keeper Security.
Por su parte, Jasson Casey, CTO de Beyond Identity, va más allá y argumenta que «No puedes tener una seguridad efectiva si sigues usando contraseñas». Si bien reconoce que PayPal aparentemente está haciendo todo lo posible por los clientes involucrados en este incidente de seguridad al recomendar cambios de contraseña, Casey insiste en que «las contraseñas, ya sean únicas o complejas, son fundamentalmente defectuosas». En su lugar, dice Casey, las organizaciones deberían adoptar credenciales resistentes al phishing, como los planes estándar de FIDO Alliance. «La pregunta es», concluye Casey, «¿cuántos ataques más basados en credenciales se necesitarán antes de que veamos un cambio real?»