Παραβίαση λογαριασμών PayPal σε επίθεση παραβίασης διαπιστευτηρίων μεγάλης κλίμακας

[nnn]

Η PayPal αποστέλλει ειδοποιήσεις παραβίασης δεδομένων σε χιλιάδες χρήστες στους οποίους δόθηκε πρόσβαση στους λογαριασμούς τους μέσω επιθέσεων πλήρωσης διαπιστευτηρίων που εξέθεσαν ορισμένα προσωπικά δεδομένα.

Οι επιθέσεις πλήρωσης διαπιστευτηρίων είναι επιθέσεις στις οποίες οι χάκερ προσπαθούν να αποκτήσουν πρόσβαση σε έναν λογαριασμό δοκιμάζοντας ζεύγη ονόματος χρήστη και κωδικού πρόσβασης που προέρχονται από διαρροές δεδομένων σε διάφορους ιστότοπους.

Αυτός ο τύπος επίθεσης βασίζεται σε μια αυτοματοποιημένη προσέγγιση με bots που εκτελούν λίστες διαπιστευτηρίων για να "γεμίσουν" τις πύλες σύνδεσης για διάφορες υπηρεσίες.

Το "γέμισμα διαπιστευτηρίων" στοχεύει σε χρήστες που χρησιμοποιούν τον ίδιο κωδικό πρόσβασης για πολλούς διαδικτυακούς λογαριασμούς, κάτι που είναι γνωστό ως "ανακύκλωση κωδικών πρόσβασης".

Σχεδόν 35.000 χρήστες επηρεάζονται
Η PayPal εξηγεί ότι η επίθεση "γέμισης διαπιστευτηρίων" σημειώθηκε μεταξύ 6 και 8 Δεκεμβρίου 2022. Η εταιρεία την εντόπισε και την μετρίασε εκείνη τη στιγμή, αλλά ξεκίνησε επίσης εσωτερική έρευνα για να διαπιστώσει πώς οι χάκερ απέκτησαν πρόσβαση στους λογαριασμούς.

Μέχρι τις 20 Δεκεμβρίου 2022, η PayPal ολοκλήρωσε την έρευνά της, επιβεβαιώνοντας ότι μη εξουσιοδοτημένοι τρίτοι συνδέθηκαν στους λογαριασμούς με έγκυρα διαπιστευτήρια.

Η πλατφόρμα ηλεκτρονικών πληρωμών ισχυρίζεται ότι αυτό δεν οφειλόταν σε παραβίαση των συστημάτων της και δεν έχει αποδείξεις ότι τα διαπιστευτήρια των χρηστών αποκτήθηκαν απευθείας από αυτούς.

Σύμφωνα με την αναφορά παραβίασης δεδομένων από την PayPal, 34.942 από τους χρήστες της έχουν επηρεαστεί από το περιστατικό. Κατά τη διάρκεια των δύο ημερών, οι χάκερ είχαν πρόσβαση στα πλήρη ονόματα των κατόχων λογαριασμών, στις ημερομηνίες γέννησης, στις ταχυδρομικές διευθύνσεις, στους αριθμούς κοινωνικής ασφάλισης και στους ατομικούς αριθμούς φορολογικού μητρώου.

Το ιστορικό συναλλαγών, τα στοιχεία συνδεδεμένων πιστωτικών ή χρεωστικών καρτών και τα δεδομένα τιμολόγησης PayPal είναι επίσης προσβάσιμα στους λογαριασμούς PayPal.

Η PayPal αναφέρει ότι έλαβε έγκαιρα μέτρα για να περιορίσει την πρόσβαση των εισβολέων στην πλατφόρμα και να επαναφέρει τους κωδικούς πρόσβασης των λογαριασμών που επιβεβαιώθηκε ότι έχουν παραβιαστεί.

Επίσης, η κοινοποίηση υποστηρίζει ότι οι επιτιθέμενοι δεν επιχείρησαν ή δεν κατάφεραν να πραγματοποιήσουν καμία συναλλαγή από τους παραβιασμένους λογαριασμούς PayPal.

"Δεν έχουμε καμία πληροφορία που να υποδηλώνει ότι κάποια από τις προσωπικές σας πληροφορίες χρησιμοποιήθηκαν καταχρηστικά ως αποτέλεσμα αυτού του περιστατικού ή ότι υπάρχουν μη εξουσιοδοτημένες συναλλαγές στο λογαριασμό σας", αναφέρεται στην ειδοποίηση της PayPal προς τους χρήστες που επηρεάστηκαν.

"Επαναρυθμίσαμε τους κωδικούς πρόσβασης των λογαριασμών PayPal που επηρεάστηκαν και εφαρμόσαμε ενισχυμένους ελέγχους ασφαλείας που θα απαιτούν από εσάς να δημιουργήσετε νέο κωδικό πρόσβασης την επόμενη φορά που θα συνδεθείτε στο λογαριασμό σας" - PayPal

Οι επηρεαζόμενοι χρήστες θα λάβουν δωρεάν διετή υπηρεσία παρακολούθησης της ταυτότητας από την Equifax.

Η εταιρεία συνιστά στους παραλήπτες των ειδοποιήσεων να αλλάξουν τους κωδικούς πρόσβασης για άλλους διαδικτυακούς λογαριασμούς χρησιμοποιώντας μια μοναδική και μεγάλη συμβολοσειρά. Συνήθως, ένας καλός κωδικός πρόσβασης έχει μήκος τουλάχιστον 12 χαρακτήρων και περιλαμβάνει αλφαριθμητικούς χαρακτήρες και σύμβολα.

Επιπλέον, η PayPal συμβουλεύει τους χρήστες να ενεργοποιήσουν την προστασία ελέγχου ταυτότητας δύο παραγόντων (2FA) από το μενού "Ρυθμίσεις λογαριασμού", η οποία μπορεί να αποτρέψει την πρόσβαση μη εξουσιοδοτημένου μέρους σε έναν λογαριασμό, ακόμη και αν διαθέτει έγκυρο όνομα χρήστη και κωδικό πρόσβασης.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Bleeping Computer

[Oav051]

έτυχε εχθές να μπω στον λογαριασμό μου να κάνω μια συναλλαγή και μου έβγαλε μήνυμα ότι είχα πολλαπλές προσπάθειες και με υποχρέωσε να αλλάξω pass. να τονίσω δε ότι έχω 2fa και 16 characters pass.

[gvard]

να τονίσω δε ότι έχω 2fa και 16 characters pass.

Έχεις 2fa και 16 characters pass, μήπως όμως το εν λόγω pass το έχεις (ή είχες κάποια στιγμή) έστω σε άλλη μία εταιρία; Η εν λόγω επίθεση δεν αναφέρει πως τα passwords ήταν εύκολα αλλά πως ήταν από διαρροές δεδομένων σε άλλες εταιρίες.

[Oav051]

πολύ δύσκολο. είναι randomly generated per site μέσω 1password .

[kasi]

Γι'αυτό τον κωδικό που έχω εκεί δεν τον έχω αλλού.

[tsigarid]

35.000 χρήστες είναι μικρό νούμερο για όλο το PayPal, οπότε μάλλον η πλειοψηφία των χρηστών κάνει το αυτονόητο και έχει διαφορετικό κωδικό και όχι κάποιον κοινό με πολλά websites. Ξαφνιάζομαι ευχάριστα.

[villager]

έτυχε εχθές να μπω στον λογαριασμό μου να κάνω μια συναλλαγή και μου έβγαλε μήνυμα ότι είχα πολλαπλές προσπάθειες και με υποχρέωσε να αλλάξω pass. να τονίσω δε ότι έχω 2fa και 16 characters pass.

Αυτό είναι το σωστό που κάνεις. Λογικά έγινε προσπάθεια με κάποια στοιχεία σου που έχουν διαρρεύσει (όπως όλων μας) πχ μέιλ να συνδεθούν. Δεν τα κατάφεραν!

[Gentoo]

35.000 χρήστες είναι μικρό νούμερο για όλο το PayPal, οπότε μάλλον η πλειοψηφία των χρηστών κάνει το αυτονόητο και έχει διαφορετικό κωδικό και όχι κάποιον κοινό με πολλά websites. Ξαφνιάζομαι ευχάριστα.

Ή πολύ απλά, δεν κατάφεραν να πάρουν τα credentials όλων των χρηστών του Paypal.

Σιγά μην είναι ψαγμένοι οι περισσότεροι χρήστες με σωστό κωδικό. Οι περισσότεροι εξ αυτών δεν χρησιμοποιούν καν password managers, οπότε είτε βάζουν τον ίδιο κωδικό παντού (με μικρές παραλλαγές), είτε το γράφουν σε κανά τεφτέρι

[tsigarid]

Ή πολύ απλά, δεν κατάφεραν να πάρουν τα credentials όλων των χρηστών του Paypal.

Σιγά μην είναι ψαγμένοι οι περισσότεροι χρήστες με σωστό κωδικό. Οι περισσότεροι εξ αυτών δεν χρησιμοποιούν καν password managers, οπότε είτε βάζουν τον ίδιο κωδικό παντού (με μικρές παραλλαγές), είτε το γράφουν σε κανά τεφτέρι

Προφανώς και δεν κατάφεραν να τα πάρουν όλα. Απλά προσωπικά θα περίμενα πολύ περισσότερες επιτυχημένες περιπτώσεις, ακριβώς για το λόγο που περιγράφεις, αλλά το ότι δεν έγινε αυτό σημαίνει ότι είτε α) δεν προσπάθησαν πολύ, ή β) αυτό που περιγράφεις και περίμενα γίνεται πολύ λιγότερο απ' ότι και οι δύο πιστεύαμε.

[Gentoo]

Προφανώς και δεν κατάφεραν να τα πάρουν όλα. Απλά προσωπικά θα περίμενα πολύ περισσότερες επιτυχημένες περιπτώσεις, ακριβώς για το λόγο που περιγράφεις, αλλά το ότι δεν έγινε αυτό σημαίνει ότι είτε α) δεν προσπάθησαν πολύ, ή β) αυτό που περιγράφεις και περίμενα γίνεται πολύ λιγότερο απ' ότι και οι δύο πιστεύαμε.

Κάπως έτσι.

Μακάρι να έχουν μειωθεί αυτοί του τύποι οι χρήστες, αλλά δεν τρέφω ελπίδες γι'αυτό. Το ζω και στον περίγυρό μου...

Ευτυχώς που τουλάχιστον για τις τράπεζες, υπάρχει το 2FA εξ ορισμού, αλλιώς θα κλαίγανε μανούλες

[Pixel 57]

Πάλι καλά που ήταν περιορισμένη. Κάποια στιγμή θα το καταφέρουν και το paypal και τότε θα τρέχουμε και δε θα φτάνουμε.

Επίσης αυτή τη βλακεία που έχει (και το ίδιο κάνουν και κάποιες τράπεζες) που σου επιτρέπει password μέχρι 20 χαρακτήρες δεν μπορώ να την καταλάβω. Αν θέλεις να έχεις μεγαλύτερο, τι πρόβλημα μπορεί να τους δημιουργήσει; Πιάνει πολύ χώρο στη βάση; Τρώει πολύ CPU για να γίνει hash;

[YAziDis]

Πάλι καλά που ήταν περιορισμένη. Κάποια στιγμή θα το καταφέρουν και το paypal και τότε θα τρέχουμε και δε θα φτάνουμε.

Επίσης αυτή τη βλακεία που έχει (και το ίδιο κάνουν και κάποιες τράπεζες) που σου επιτρέπει password μέχρι 20 χαρακτήρες δεν μπορώ να την καταλάβω. Αν θέλεις να έχεις μεγαλύτερο, τι πρόβλημα μπορεί να τους δημιουργήσει; Πιάνει πολύ χώρο στη βάση; Τρώει πολύ CPU για να γίνει hash;

Η Alpha επιτρέπει 15.. αναγκάστηκα να μειώσω το password μου και εγώ.

[tsigarid]

Ποτέ δεν κατάλαβα γιατί βάζουν ανώτατο όριο στους κωδικούς, και το συναντάω τακτικά. Αν αποθηκεύουν μόνο hashes, που θα έπρεπε ασφαλώς, αυτά έχουν σταθερό μήκος ασχέτως μήκους του κωδικού, σωστά; Άρα ίδιο χώρο πιάνουν στη βάση δεδομένων. Τόσο πιο απαιτητικό αλγόριθμο απαιτεί η ύπαρξη πολλών χαρακτήρων; Το θεωρώ αδύνατον, ειδικά για κάτι που χρησιμοποιείται μία φορά ανά επίσκεψη (και αν), οπότε;

[nnn]

Μάλλον δεν έχετε κάνει προγραμματισμό

Τα τραπεζικά συστήματα, ουσιαστικά πατάνε σε βάσεις δεκαετιών με αναβαθμίσεις λειτουργικότηατς, ασφαλεάις και interface. Κάποια πεδία στις βάσεις τους είχαν μέγιστο μήκος και μάλλον είναι μεγάλη δουλειά να γίνουν rebuild

[tsigarid]

Α τι ωραία. Μόλις μου θύμισες ότι ακόμα χρησιμοποιώ απομεινάρια κώδικα γραμμένο σε FORTRAN66 που είχε όριο 6 χαρακτήρων για τις μεταβλητές, οπότε άντε βγάλε άκρη τι είναι τι...