PayPal: attaque de « credential stuffing » affecte des milliers d’utilisateurs

PayPal, la plateforme de paiements électroniques populaire, prévient des milliers d’utilisateurs que leurs comptes ont été consultés dans une attaque de type « credential stuffing » à grande échelle. Ce type d’attaque cybernétique consiste à utiliser des bots automatisés pour essayer des paires nom d’utilisateur et mot de passe provenant de fuites de données sur divers sites Web pour accéder à des comptes.

Selon PayPal, l’attaque a eu lieu entre le 6 et le 8 décembre 2022 et ils l’ont détectée et atténuée à ce moment-là. Cependant, une enquête interne a été lancée pour déterminer comment les pirates ont obtenu accès aux comptes. La société prétend que cela n’est pas dû à une violation de ses systèmes et qu’elle n’a aucune preuve que les informations d’identification des utilisateurs ont été obtenues directement de PayPal.

Les attaques de type « credential stuffing » ciblent spécifiquement les utilisateurs qui utilisent le même mot de passe pour plusieurs comptes en ligne, ce qui est appelé « recyclage de mots de passe ». Cela facilite pour les pirates l’accès à de nombreux comptes s’ils obtiennent un seul ensemble d’informations d’identification.

Selon les rapports de violation de données de PayPal, 34 942 de ses utilisateurs ont été touchés par l’incident. Pendant les deux jours, les pirates ont eu accès aux noms complets, dates de naissance, adresses postales, numéros de sécurité sociale et numéros d’identification fiscale individuels des titulaires de compte. De plus, l’historique des transactions, les détails de carte de crédit ou de débit connectés et les données de facturation PayPal étaient également accessibles sur les comptes piratés.

PayPal a pris des mesures pour limiter l’accès des intrus à la plateforme et réinitialiser les mots de passe des comptes qui ont été confirmés comme ayant été violés. La société a également indiqué que les attaquants n’ont pas tenté ou n’ont pas réussi à effectuer des transactions à partir des comptes PayPal violés.

En réponse à l’attaque, PayPal offre aux utilisateurs touchés un service de surveillance de l’identité gratuit pendant deux ans d’Equifax. La société recommande également vivement aux destinataires des avis de changer les mots de passe pour d’autres comptes en ligne en utilisant une chaîne unique et longue. Un bon mot de passe est d’au moins 12 caractères et comprend des caractères

alphas numériques et des symboles. De plus, PayPal conseille aux utilisateurs d’activer la protection d’authentification à deux facteurs (2FA) depuis le menu ‘Paramètres de compte’, ce qui peut empêcher une personne non autorisée d’accéder à un compte, même si elle a un nom d’utilisateur et un mot de passe valides.

Il est important de noter que ce type d’attaques deviennent de plus en plus courantes et sophistiquées, il est donc crucial pour les utilisateurs d’être vigilants quant à leur sécurité en ligne. Il est conseillé aux utilisateurs de ne pas réutiliser les mots de passe pour plusieurs comptes, d’utiliser des mots de passe forts et uniques et de permettre l’authentification à deux facteurs partout où cela est possible pour protéger leurs comptes de ces types d’attaques.

Lexique credential stuffing

Le « credential stuffing » est une forme d’attaque informatique où les pirates utilisent des bots automatisés pour essayer des combinaisons de noms d’utilisateur et mots de passe provenant de fuites de données sur divers sites web pour accéder à des comptes. Cette technique repose sur l’utilisation de listes de données d’identification volées qui sont « injectées » dans des formulaires de connexion pour différents services. Les pirates peuvent également utiliser des outils de « force brute » pour tester automatiquement des milliers de combinaisons de mots de passe. Ce type d’attaque cible principalement les utilisateurs qui utilisent le même mot de passe pour plusieurs comptes en ligne, connus sous le nom de « recyclage de mots de passe ».