Хакер #305. Многошаговые SQL-инъекции
Представители PayPal проинформировали пользователей о массовых атаках с подстановкой учетных данных (credential stuffing), от которых уже пострадали около 35 000 человек. В компании подчеркивают, что атаки произошли не из-за взлома систем PayPal, а учетные данные пользователей, похоже, были получены из других источников.
Напомню, что термином credential stuffing обычно обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются на других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные в автоматизированных атаках, чтобы авторизоваться на других сайтах и сервисах под видом своих жертв.
В PayPal сообщают, что атаки с подстановкой учетных данных происходили в период с 6 по 8 декабря 2022 года. Тогда компания обнаружила подозрительную активность и приняла меры для ее пресечения, а также начала внутреннее расследование, чтобы выяснить, каким образом хакеры получают доступ к чужим учетным записям. Примерно к 20 декабря 2022 года расследование было завершено, подтвердив, что неавторизованные лица входили в чужие аккаунты, используя действительные учетные данные.
В итоге инцидент затронул 34 942 пользователя. В течение двух дней хакеры имели доступ к полным именам владельцев счетов, датам их рождения, почтовым адресам, номерам социального страхования и индивидуальным идентификационным номерам налогоплательщиков. Также злоумышленникам были доступны истории транзакций, информация о подключенной кредитной или дебетовой карте и данные о выставления счетов.
PayPal уверяет, что своевременно обнаружила атаки и предприняла меры, чтобы ограничить доступ злоумышленников к платформе, а также сбросила пароли от учетных записей, которые были взломаны. При этом утверждается, что злоумышленники не пытались или не смогли осуществить какие-либо транзакции со взломанных аккаунтов.
«Мы не располагаем данными, позволяющими предположить, что в результате этого инцидента какой-либо вашей личной информацией злоупотребили или в вашей учетной записи были проведены какие-либо несанкционированные транзакции, — гласит сообщение PayPal, отправленное всем пострадавшим. — Мы сбросили пароли скомпрометированных учетных записей PayPal и внедрили дополнительные средства для контроля безопасности, которые потребуют от вас установки нового пароля при следующем входе в учетную запись».
Сообщается, что пострадавшие клиенты платформы получат два года бесплатного кредитного мониторинга и защиту от кражи личности от Equifax. Также получателям уведомлений настоятельно рекомендуется изменить пароль не только от PayPal, но и для других онлайн-аккаунтов (используя уникальные и длинные комбинации), а также активировать двухфакторную аутентификацию.