En el incidente de seguridad, terceros no autorizados tuvieron acceso a cuentas de usuarios de la plataforma usando sus credenciales de acceso.
ESET informó que PayPal sufrió un incidente de seguridad que expuso información de casi 35,000 usuarios de PayPal, ocurrido entre el 6 y 8 de diciembre de 2022. A través de un comunicado, PayPal anunció que no hay evidencia de que las credenciales hayan sido obtenidas de los sistemas de PayPal, con lo cual las credenciales deben haber sido obtenidas de brechas de seguridad pasadas y lograron acceder a través de algún tipo de ataque de fuerza bruta.
PayPal señaló no tener evidencia de que los datos de los usuarios hayan sido utilizados indebidamente a consecuencia del incidente. Asimismo, informó que durante esos dos días los atacantes tuvieron acceso a datos como nombre, dirección, número de seguro social, número de identificación tributaria o fecha de nacimiento. Al respecto, ESET señaló que es relevante aclarar que el acceso a las cuentas de PayPal permite obtener el historial de transacciones y obtener algunos datos de las tarjetas vinculadas.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, precisó que el riesgo de que hayan tenido acceso a esta información está relacionado con la posibilidad de ser objeto de ataques de phishing o de robo de identidad. “Los atacantes pueden comercializar los datos o utilizarlos ellos mismos para realizar fraude”.
Como primera medida para superar el incidente, PayPal reseteó las contraseñas de las cuentas afectadas; así, obligó a las personas a tener que establecer una nueva contraseña la próxima vez que inicien sesión.
BleepingComputer publicó que el número de personas afectadas es cercano a los 35,000 cuentas e informó que se trató de un ataque que se conoce como credential stuffing, que es cuando cibercriminales de manera automatizada prueban con direcciones de correos y contraseñas que fueron filtradas en brechas pasadas hasta dar con alguna cuenta que siga utilizando esas mismas claves.
Para evitar ser víctima de este tipo de ataques, ESET recomienda más allá de cambiar la contraseña por una que sea extensa y segura para mayor tranquilidad, activar la autenticación en dos pasos para que la seguridad de la cuenta no recaiga exclusivamente en la contraseña.