PayPal está enviando notificaciones de violación de datos a miles de usuarios a cuyas cuentas se accedió mediante ataques de relleno de credenciales que expusieron algunos datos personales.
Los ataques de relleno de credenciales consisten en que los hackers intentan acceder a una cuenta probando pares de nombres de usuario y contraseñas procedentes de filtraciones de datos en varios sitios web.
Este tipo de ataque se basa en un enfoque automatizado con bots que ejecutan listas de credenciales para “rellenar” los portales de inicio de sesión de diversos servicios.
El “relleno de credenciales” se dirige a usuarios que emplean la misma contraseña para varias cuentas en línea, lo que se conoce como “reciclaje de contraseñas”.
PayPal explica que el ataque de “credential stuffing” se produjo entre el 6 y el 8 de diciembre de 2022. La compañía lo detectó y mitigó en ese momento, pero también inició una investigación interna para averiguar cómo los hackers obtuvieron acceso a las cuentas.
Para el 20 de diciembre de 2022, PayPal concluyó su investigación, confirmando que terceros no autorizados iniciaron sesión en las cuentas con credenciales válidas.
La plataforma de pagos electrónicos afirma que no se debió a una brecha en sus sistemas y no tiene pruebas de que las credenciales de los usuarios se obtuvieran directamente de ellos.
Según el informe de violación de datos de PayPal, 34.942 de sus usuarios se han visto afectados por el incidente. Durante los dos días, los piratas informáticos tuvieron acceso a los nombres completos, fechas de nacimiento, direcciones postales, números de la seguridad social y números de identificación fiscal individuales de los titulares de las cuentas.
Los historiales de transacciones, los detalles de las tarjetas de crédito o débito conectadas y los datos de facturación de PayPal también son accesibles en las cuentas de PayPal.
PayPal afirma haber tomado las medidas oportunas para limitar el acceso de los intrusos a la plataforma y restablecer las contraseñas de las cuentas cuya violación se ha confirmado.
Además, la notificación afirma que los atacantes no han intentado ni han conseguido realizar transacciónes desde las cuentas PayPal violadas.
