Benutzerfaulheit kann Sie teuer zu stehen kommen: Das gleiche Passwort, das für mehrere Apps verwendet wird, öffnet unendlich viele Türen, wie rund 35.000 PayPal-Benutzer wider Willen feststellen mussten. Hier sind alle Details
PayPal hat bekannt gegeben , dass die Zahlungsplattform Opfer einer Kontoverletzung wurde, bei der einige persönliche Daten offengelegt wurden. Dabei handelt es sich nicht um eine Brute-Force-Hackler-Geste, sondern um ein hinterhältiges Eindringen mit der Credential-Stuffing -Technik, die sozusagen die Komplizenschaft der Opfer selbst und ihre mangelnde Aufmerksamkeit für die Sicherheit ausnutzt.
CREDENTIAL STUFFING, WAS ES IST (UND WIE MAN ES VERTEIDIGT)
Credential-Stuffing-Angriffe nutzen die Faulheit und den Einfallsreichtum von Benutzern aus, was dazu führt, dass viele Internetbenutzer dieselben Anmeldeinformationen verwenden, um auf mehrere Anwendungen, Websites und Dienste zuzugreifen.
Sie basieren normalerweise auf Benutzernamen- und Passwortarchiven, die im Netzwerk gesammelt wurden, meistens nach massiven Datenschutzverletzungen. Also ganz einfach, wenn der diensthabende Hacker (in der Regel ein unermüdlicher Bot, der bereit ist, Milliarden von Versuchen durchzuführen) nach diesem „Schatz“ prüft, ob derselbe Schlüssel, der in Bezug auf einen bestimmten Dienst (z Arbeitspasswort) öffnet auch andere Ports.
Natürlich lässt sich ein solcher Angriff durch wiederholtes Ändern von Passwörtern, die Verwendung biometrischer Daten oder mit dem Doppelschritt, der das Entsperren per Smartphone vorsieht, leicht vermeiden.
DER ANGRIFF AUF PAYPAL
Das Füllen der Anmeldeinformationen von PayPal hätte rund 35.000 Benutzer betroffen und wäre nach Angaben des Dienstleiters zwischen dem 6. und 8. Dezember 2022 aufgetreten und in dem Moment blockiert worden, in dem es von den internen Systemen erkannt wurde.
Die 34.942 beteiligten Nutzer wurden per E-Mail informiert: Dem Bericht zufolge hatten die Hacker während des Angriffs Zugriff auf die vollständigen Namen, Geburtsdaten, Postanschriften, Sozialversicherungsnummern und Steueridentifikationsnummern der Kontoinhaber. Es hätte keine Verstöße gegen die beteiligten Konten gegeben. Was gestohlen wurde, reicht jedoch aus, um mit geeigneten Querverweisen falsche Online-Identitäten wiederherzustellen oder mit Hilfe von Software auf andere Passwörter zurückzugreifen.
Wie so oft nach ähnlichen Ereignissen hat das Unternehmen auch eine interne Untersuchung eingeleitet, um herauszufinden, wie Hacker Zugang zu Konten erlangten: eine Untersuchung, die am 20. Dezember letzten Jahres endete und sich darauf beschränkte, festzustellen, dass sich unbefugte Dritte in Konten eingeloggt haben mit gültigem Ausweis.
In der an die betroffenen Benutzer gesendeten E-Mail gibt die Zahlungsplattform an, dass es sich nicht um einen direkten Verstoß gegen ihre Systeme handelte und es keine Beweise dafür gibt, dass die Anmeldeinformationen durch PayPal-Verstöße erlangt wurden.
Dies ist eine Übersetzung eines Artikels, der am Fri, 20 Jan 2023 15:12:23 +0000 im italienischen Blog Start Magazine unter der URL https://www.startmag.it/innovazione/attacco-credential-stuffing-paypal-cosa-sappiamo/ veröffentlicht wurde.