Bien que les systèmes de PayPal restent sécurisés, les pirates ont pu compromettre près de 35 000 comptes d’utilisateurs PayPal entre le 6 et le 8 décembre en utilisant le « credential stuffing ». La technique de credential stuffing permet aux attaquants d’utiliser des informations de connexion précédemment divulguées pour accéder aux comptes Paypal.
Le bourrage d’informations d’identification se produit lorsqu’un attaquant utilise des informations d’identification de compte volées lors d’une violation. Les pirates tentent d’accéder à d’autres comptes ou services en utilisant les mêmes mots de passe sur plusieurs plates-formes. Ce type d’attaque s’appuie fortement sur des outils d’automatisation. L’attaquant teste des milliers de noms d’utilisateur et de mots de passe pour déterminer ceux qui fonctionnent.
Les informations personnelles de 35 000 comptes compromis
Les pirates ont eu accès aux noms complets, dates de naissance, adresses postales, numéros de sécurité sociale et numéros d’identification fiscale des titulaires de compte pendant la violation. De plus, les historiques de transactions, les informations liées aux cartes de crédit ou de débit et les données de facturation Paypal faisaient également partie de l’incident.
Paypal indique que l’intrusion s’est arrêtée dans les deux jours suivant le rapport. Ils réinitialisent les mots de passe des utilisateurs concernés. Ils ont par ailleurs ajouté qu’aucune transaction non autorisée n’avait eu lieu. PayPal offre également aux utilisateurs concernés deux ans de surveillance gratuite du crédit Equifax.
PayPal n’a peut-être pas été piraté, mais ce n’est pas entièrement sans reproche. Baber Amin, le COO de Veridium, a déclaré à PCWorld :
« En tant que fournisseurs de confiance, PayPal et d’autres doivent placer la barre plus haut ici. Les vendeurs doivent mettre en œuvre :
Processus pour surveiller et identifier les comportements anormaux, comme le grand nombre d’échecs de connexion suite à une attaque de credential stuffing. Il existe plusieurs outils et services qui peuvent le faire maintenant. Pour PayPal, prendre plusieurs jours pour attraper cela ne devrait pas être acceptable.
Encouragez activement les clients à utiliser l’authentification à deux facteurs, et pas seulement à la proposer en option.
Éliminez activement les mots de passe de leurs systèmes destinés aux utilisateurs en accélérant l’adoption de Fido Passkey. »
Rafay Baloch, un chercheur en sécurité pakistanais bien connu, estime que la réponse de Paypal à cet incident a été rapide et appropriée.
Actualité mobile (sous-titrée) de notre partenaire de la semaine
Il a déclaré : « La réponse rapide de Paypal à l’incident, ainsi que ses efforts pour informer les utilisateurs concernés et fournir des services de surveillance du crédit, démontrent qu’ils prennent au sérieux la sécurité des données de leurs utilisateurs. Les utilisateurs doivent comprendre qu’aucun système n’est complètement sécurisé, et ils doivent assumer la responsabilité de leur propre sécurité en utilisant des mots de passe uniques et forts et en activant l’authentification à deux facteurs dans la mesure du possible.
Par ailleurs, Baloch estime que les fournisseurs devraient activement encourager les clients à utiliser l’authentification à deux facteurs plutôt que de simplement l’offrir en option. Il pense que les fournisseurs devraient activement supprimer les mots de passe des systèmes destinés aux utilisateurs en accélérant l’adoption de Fido Passkey.
Comment protéger votre compte contre les attaques de bourrage d’informations d’identification
Pour commencer, vous ne devez jamais utiliser le même mot de passe pour plusieurs comptes. Cela est particulièrement vrai pour les comptes qui stockent des informations personnelles ou financières sensibles, comme PayPal. Vous pouvez utiliser un gestionnaire de mots de passe si vous ne souhaitez pas vous souvenir d’un mot de passe différent pour chaque site.
Pour rester en sécurité, j’utilise 4 lettres qui sont différentes pour chaque site où j’ai un compte. Que diriez-vous de « password!@gl » pour Gmail et du « password!@gl » pour Facebook ? C’est une méthode très simple qui vous aide à rester en sécurité en ligne.
Une autre étape importante à franchir est l’authentification à deux facteurs (2FA). Cette option se trouve dans le menu Paramètres du compte de PayPal et constitue un excellent moyen de rendre votre compte encore plus sécurisé. Même si un pirate informatique obtient votre mot de passe, il ne pourra pas accéder à votre compte à moins que vous n’activiez la deuxième étape de vérification.