Posté le janvier 22, 2023 à 6:06
DES MILLIERS D’UTILISATEURS COMPROMIS DANS LE CADRE D’UNE ATTAQUE DE CREDENTIAL STUFFING CONTRE PAYPAL
Des notifications de violation de données sont envoyées à des milliers d’utilisateurs de PayPal. Ces utilisateurs ont récemment vu leurs comptes accessibles grâce à une attaque vicieuse de type « credential stuffing » qui a frappé la plateforme, exposant les données personnelles de certains utilisateurs.
Attaque de credential stuffing
Lors d’une attaque de credential stuffing, les hackers utilisent successivement des combinaisons de noms d’utilisateur et de mots de passe provenant de diverses fuites de données pour accéder à un compte. En général, cette méthode s’appuie sur des fuites de données antérieures et sur le fait que les gens sont trop paresseux pour changer leurs mots de passe au fil des mois et des années.
Il s’agit de l’une des attaques les plus automatiques, car des bots sont généralement utilisés pour insérer rapidement les informations d’identification et signaler celles qui obtiennent un résultat positif. Ces bots ciblent généralement un certain nombre de services à la fois afin d’obtenir le plus grand nombre de succès possible, en utilisant la stratégie du fusil de chasse plutôt que celle de la carabine.
L’habitude humaine mise en cause
Pour ce qui est des personnes vulnérables, les attaques de credential stuffing visent généralement celles qui utilisent la même combinaison nom d’utilisateur/mot de passe sur plusieurs comptes. Selon le rapport de BleepingComputer, près de 35 000 personnes ont été victimes de cette habitude et ont donc été victimes de cette dernière violation de données.
PayPal a signalé que le credential stuffing a eu lieu les 6 et 8 décembre 2022. Le rapport indique que PayPal a réussi à détecter et à stopper l’attaque de credential stuffing. Une enquête interne a été menée peu après pour déterminer comment ces acteurs de la menace ont réussi à accéder aux comptes.
Paypal prouve sa propre innocence
C’est le 20 décembre 2022 que PayPal a terminé son enquête. Le résultat est que ces tiers non autorisés ont eu accès aux informations d’identification valides pendant leur attaque de credential stuffing.
PayPal s’est rapidement défendu. La société de paiement a clairement indiqué que ses propres systèmes n’ont pas été violés lors de cette attaque. Elle affirme en outre n’avoir trouvé aucune preuve qui impliquerait que les informations d’identification utilisées dans l’attaque provenaient directement des systèmes de PayPal, ce qui la disculpe de la façon dont l’attaque s’est produite en premier lieu.
La violation de données signalée montre un total de 34 942 utilisateurs touchés. PayPal a déclaré que les hackers étaient capables d’accéder aux dates de naissance, aux noms complets, aux numéros de sécurité sociale, aux adresses postales, ainsi qu’aux numéros d’identification fiscale des personnes victimes du piratage.
Paypal affirme avoir pris des « mesures opportunes » pour limiter l’accès des intrus à la plateforme et avoir réinitialisé les mots de passe des comptes dont il a pu déterminer qu’ils avaient été violés.
PayPal déclare en outre ne détenir aucune information suggérant que les informations volées dans le cadre de la violation de données ont été utilisées à mauvais escient à l’heure actuelle. En outre, PayPal n’a détecté aucune transaction non autorisée sur les comptes en question.
Indemnisation et appels à la sécurité
Pour tenter de s’excuser, PayPal offre aux personnes concernées un service de contrôle d’identité de deux ans, offert par Equifax.
PayPal a vivement recommandé aux utilisateurs touchés par la violation de données de modifier leurs données de connexion et de changer également leurs mots de passe sur diverses autres plateformes. L’entreprise recommande en outre l’utilisation d’une chaîne longue et unique pour chacune de ces plateformes, précisant qu’un bon mot de passe doit comporter au moins 12 caractères, des lettres et des symboles.
PayPal recommande en outre à ces utilisateurs d’activer leur authentification à deux facteurs chaque fois que cela est possible. Cela permet d’empêcher davantage ces attaques de se produire en raison du niveau de complexité plus élevé nécessaire pour violer le compte. Elle permet de bloquer ces acteurs malveillants même s’ils parviennent à acquérir les informations d’identification appropriées.
Le temps nous dira comment cette violation de données affectera le grand public. PayPal a fait preuve de diligence raisonnable en avertissant les personnes touchées par la violation de données et en les incitant à prendre les mesures nécessaires pour se protéger à l’avenir. L’espace cybercriminel est dans un état constant d’évolution et d’innovation alors qu’il essaie de suivre les avancées des systèmes de cybersécurité.
Récemment, Microsoft OneNote a fait l’objet de cette innovation. Lorsque Microsoft a finalement corrigé les exploits utilisés par les acteurs malveillants pour pénétrer dans les systèmes par le biais d’attaques par hameçonnage, ils se sont adaptés en découvrant de nouveaux moyens. C’est une lutte constante entre les deux parties qui innovent pour prendre le dessus sur l’autre. Tant qu’il y aura un besoin de systèmes informatiques, il y aura des cybercriminels. Tant qu’il y aura des cybercriminels, les experts en cybersécurité s’efforceront de déjouer leurs systèmes. C’est une danse qui n’est pas prête de s’arrêter.
