Conti PayPal hackerati, la società invia gli avvisi: si parla di quasi 35.000 utenti

19 Gennaio 2023 201

PayPal ha subito un attacco hacker e a quanto pare in queste ore sta inviando notifiche di violazione dei dati a migliaia di utenti vittime di quelli che in gergo vengono chiamati attacchi di credential stuffing. Il fatto risale allo scorso mese, ma solamente adesso la società lo sta rendendo noto.

Per chi non ne avesse mai sentito parlare, sono quella tipologia di attacchi in cui gli hacker cercano di accedere a un account provando coppie di nomi utente e password recuperati da furti di dati su vari siti web e si basano su un approccio automatizzato con bot che eseguono elenchi di credenziali da "inserire" nei portali di accesso per vari servizi. Gli attacchi di credential stuffing mirano agli utenti che utilizzano la stessa password per più account online, un fenomeno noto come "riciclo di password".

PayPal spiega che l'attacco di credential stuffing è avvenuto tra il 6 e l'8 dicembre 2022. La società lo ha rilevato e mitigato al momento, ma ha anche avviato un'indagine interna per scoprire come gli hacker abbiano ottenuto l'accesso agli account. Già entro il 20 dicembre 2022, PayPal ha concluso la sua indagine, confermando che le parti non autorizzate hanno effettuato il login negli account con credenziali valide.

La piattaforma di pagamenti elettronici fa sapere che non è stato il risultato di una violazione dei propri sistemi, o perlomeno, non ne ha le prove. Secondo il rapporto di violazione dei dati di PayPal, 34.942 dei suoi utenti sono stati colpiti dal furto. Durante i due giorni, gli hacker hanno avuto accesso ai nomi completi, alle date di nascita, agli indirizzi postali, ai numeri di previdenza sociale e ai numeri di identificazione fiscale individuali degli account. Anche le cronologie delle transazioni, i dettagli delle carte di credito o di debito collegate e i dati di fatturazione di PayPal sono accessibili sugli account PayPal.

La società afferma di aver preso provvedimenti tempestivi per limitare l'accesso degli intrusi alla piattaforma e di aver reimpostato le password degli account confermati come violati. Inoltre, PayPal afferma che gli aggressori non hanno tentato o non sono riusciti a effettuare transazioni dai conti PayPal violati.

La società raccomanda vivamente ai destinatari delle comunicazioni di modificare le password per altri account online utilizzando una stringa univoca e lunga. In genere, una buona password è lunga almeno 12 caratteri e include caratteri alfanumerici e simboli. Inoltre, PayPal consiglia agli utenti di attivare la protezione dell'autenticazione a due fattori (2FA) dal menu "Impostazioni account", che può impedire a una parte non autorizzata di accedere a un account, anche se hanno un nome utente e una password validi.

Un Computer dentro uno Smartphone? Motorola Moto G100, in offerta oggi da Pskmegastore a 274 euro oppure da eBay a 387 euro.

201

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...

Va bene hai ragione.

L0RE15

Visti i fatti da lei stesso descritto, non v'è dubbio alcuno che abbia ragione. Che le serva di lezione (dubito vista l'arroganza e la faccia tosta).

Kilani
Andrearocca

che du palle sti hacker morti di fame dal terzo mondo

Malthael85

Grazie mille per le info utili!

Ciao!
Se cerchi info tecniche non posso aiutarti. Su un noto forum frequentato per lo più da gente che lavora nel campo dell'IT e che ne sa, mi hanno consigliato di buttare via SafeInCloud e di utilizzare Bitwarden per questioni legate alla crittografia e al salvataggio del vault sui loro server.
SafeInCloud salva il database in un file .db salvato su un cloud scelto da te (drive, dropbox, icloud). Io utilizzavo Drive e avendomi clonato la sessione, gli sarebbe bastato andare su https://drive.google.com/ e trovarsi il database lì bello che pronto.

Malthael85

Ciao! Posso sapere perché vuoi passare da Safeincloud a Bitwarden? Per curiosità visto che mi sto informando sull’argomento

ok ma se mi trovo da pc non posso utilizzare il servizio di apple e non utilizzo firefox.

Baz

dhksjahdsa@mozmail.com legata alla tua email jonknow@gmail.com.
a questo punto nei siti metti dhksjahdsa@mozmail.com, e automaticamente tutte le email verranno inviate al tuo indirizzo principale, ma il sito
conoscendo solo l'alias non puo' conoscere il tuo vero indirizzo.
quando da un determinato alias ricevi troppo spam, o hai problemi, lo elimini e addio, non riceverai piu' nessuna email da li.

Alias intendi, es:
hdblog+fseigjsi@gmail.con? Continuerebbero comunque ad arrivarti sulla tua mail e avresti tanto di quello spam che non finisce più.

fr4nz5

è successo anche alla mia postepay e a molti altri utenti, estate\autunno 2021, su google e hdblog ci furono diversi articoli. Nel mio caso, di notte (senza autorizzazione e senza aver mai fornito credenziali, autorizzazione o altro; ma in modo non autorizzato) erano state fatte (forse da un Paese extra UE) diverse mini-transazioni (anche di alcuni centesimi) fino ad arrivare a circa 50 euro. Ho bloccato la carta e ricevuto il rimborso dalle poste.

Baz

non hai bisogno di creare una nuova email, ci sono servizi di alias, mozilla ad esempio ne ha uno suo (firefox relay), che puoi integrare tranquillamente in firefox (con l'estenssione ufficiale) per usare alias al posto della tua vera email, apple ne ha uno suo, ma in rete ce ne sono altri.

Baz

e come avrebbero fatto a fregarti i soldi se tu non hai dato le credenziali?
ti sei fatto fregare fine.
oltretutto adesso in europa e' obbligatoria la PSD2, quindi i pagamenti digitali sono ancora piu' sicuri, ogni transazione necessita di doppia autenticazione per essere convalidata, e anche accedere all'account bancario da un dispositivo prevede sempre l'autorizzazione da parte del tuo smartphone, altrimenti non puoi vedere neanche il tuo saldo, figurati fare bonifici.

Baz

come puo' essere superiore l'impronta alla password, se l'impronta e' un'opzione in piu' e non la sostituisce del tutto?
e' come se per aprire la porta di casa tua esistessero 2 chiavi al posto di una sola.. ovviamente e' "meno" sicuro.
l'unica sicurezza in piu' dell'impronta potrebbe essere il fatto che nessuno puo' spiarti mentre la digiti, e che un keylogger non puo' rilevarla, ma sono casi limite... per il resto rimane sempre una seconda chiave per aprire la tua porta di casa

Computerman

Vale lo stesso discorso per internet...anche se, ti direi, che costa meno proteggersi su internet che in casa. Oltretutto se hanno rapinato le banche...non esistono luoghi sicuri al 100%.
Comunque non è un mio problema...a casa mia sono venuti e a momenti mi lasciavano loro qualcosa di soldi XD

Marco

Qualsiasi carta prepagata della banca se uno non vuole la carta di credito, io comunque sono passato a quest'ultima perché mi costava comunque meno di ricaricare la prepagata ogni volta.
Comunque qualsiasi carta collegata ad account paypal con multifactor authentication e stai sereno

Driver

Se il buono non era ancora stato utilizzato te lo avrebbero potuto rimborsare

Driver
Pogo

so che sembra una cosa stupida.. ma potrebbe dipendere anche dall operatore telefonico. Prova a fare una cosa del genere: disattiva 4G/5G e passa al 3G.. a me ha funzionato quando dovevo ricevere codici di accesso...

Roberto85

T'avranno clonato le sessioni dai browser o dalle applicazioni e si sono ritrovati direttamente già loggati nei vari siti, bypassando tutto.

ninuzzo

Questo è vero.

boosook

Beh, se fallisce l'impronta comunque il telefono ti chiede di sbloccare con il metodo di backup, a tua scelta PIN, sequenza o password. Io non so dire se l'impronta sia più o meno sicura (poi dipende anche da cosa uno sceglie come pin/sequenza/password...), ma se anche fosse superiore, beh... basta farla fallire che ti chiede il PIN :)

saetta

Una sandbox, o sistema virtuale e stvi tranquillo

ninuzzo

Quindi anziché eliminare solo Postepay hai eliminato tutto. Come a dire: sono rimasto a terra con una Fiat Panda, quindi non compro più nessun'auto e vado a piedi.

ninuzzo

L'impronta digitale al telefono non è superiore al PIN?

ninuzzo

Fai una scansione con Malwarebytes Antimalware

Va bene hai ragione tu.

fr4nz5

quale carta consigli ?

Paolo Cocci

si certo...

vegeta nexus 5X

Per come siamo messi oggi meglio il medioevo. Almeno per i soldi era paradossalmente più sicuro.

antonello

Che pollo!!!

L0RE15

Register mIRC
Thank you for trying out mIRC. mIRC can be downloaded freely and evaluated for up to 30 days.

Ma di che cosa stiamo parlando?! Funziona solo per 30 giorni. Così ha deciso il produttore del software che ne ha TUTTO IL DIRITTO. Lei non ha il diritto di fare come vuole. Punto.
Sta vaneggiando.

Moralismi sterili. I keygen che eludono il pagamento di un programma che funziona anche senza pagarlo sono fini a sé stessi. Ogni 30gg basta disinstallare e reinstallare eliminando le chiavi di registro. Siamo ben lontani da poterlo definire “furto”. Pagato o non pagato non si hanno privilegi nelle funzionalità. Detto questo, non posso dire per certo se sia stato quell’eseguibile a far scaturire tutto il resto. Potrebbero benissimo aver ottenuto i miei dati in qualsiasi altro modo. Che scaricare keygen o crack sia giusto non lo ha scritto nessuno, io mi sto riferendo ad un preciso programma e il senso di giusto o sbagliato in merito non ha alcun senso.

L0RE15

Allora proprio non vuole capire. Mi pare chiaro ed evidente che ha subìto un hackeraggio in piena regola. Ed è un atto da condannare. Mi sembra non vi siano dubbi. A questo, però, serve analizzare la situazione e cosa sia successo. E la risposta l'ha fornita lei: "Ho scaricato un file convinto fosse la keygen di mIRC". Che è una cosa rischiosa ma, soprattutto, da non fare (se si vuole restare nella legalità, ovviamente). Quindi lei per primo voleva rubare qualcosa compiendo un atto illecito (generare una chiave per bypassare un pagamento od attivare un servizio a frodo). Senza contare che lo sanno anche i muri che crack e keygen sono spessissimo proprio un veicolo in cui gli hacker cercano di distribuire virus, attraendo proprio chi, come lei, vuole rubare un servizio. Se non capisce il nesso delle due cose, mi spiace. Il paragone che fa della rapina e del mozzicone di sigaretta è del tutto ridicolo. Gliene faccio io un altro esempio più calzante. E' come se fosse sul tram con un biglietto falso e la beccassero. A quel punto dicesse al controllore "ma sì tanto il tram nemmeno mi piace e devo fare solo due fermate: scendo e vado a piedi. Grazie e arrivederci." Eh no, la multa la si paga ugualmente.
Comunque ancora non ammette di aver sbagliato e di aver fatto, per primo, una cosa illegale. Specchio di una società che vuole tutto e subito senza sforzo.

bix71

Se funzionasse la app! L'autenticazione a due fattori fa si che la app su ios 16 all'atto dell'inserimento delle credenziali invece di mostrare il passaggio successivo carica una pagina bianca e non si va avanti. Per farla funzionare bisogna disattivare la MFA , cosa da non fare quindi la app non funge!

Andhaka

Hai fatto praticamente tutte le sostituzioni base che sono in cima alle liste di ogni hacker, compreso il punto esclamativo alla fine. :D

Sorry, but no. ;)

Cheers

Chucky

SMS o chiamata, non ho l'App

una cosa è scaricare un crack, un'altra è utilizzare un programmino che si intrufola nel pc, ruba dati e ruba soldi. E' come dire che viaggiare senza biglietto è come rapinare una banca. Avete una concezione del mondo in bianco e nero.

L0RE15

LOL ancora? Sono io quello che scrive boiate?
Giusto per ribadire il concetto:

"Ho scaricato un file convinto fosse la keygen di mIRC"

Non la ho scritta io.

A me la chiede sempre https://uploads.disquscdn.c...

Body123

Diciamo però che se invece di giacomo1990 metti G1@c0m01990! è già ben diversa come cosa no?

Chucky

Ma 2FA su paypal funziona "occasionalmente"

Esperienza personale, dopo ogni 2/3 accessi chiede la seconda autenticazione, non sempre.

Andhaka

Eppure ti posso garantire che una percentuale consistente di persone ha la stessa password per tutto.

Al lavoro da me so di almeno un 50% abbondante con una singola password che, tra l'altro, è un unione di dati personali come date di nascita, luoghi di nascita, nomi di figli e altra roba che non andrebbe MAI messa in una password.

Cheers

T. P.

si anche noi abbiamo la stessa politica aziendale mi sa...
e ci mandano avviso per tempo per cambiarle!!!

carina l'idea del programmino! :)

Resolut

se tu potessi creare un virus, la prima cosa che faresti è renderlo invisibile gli av. Lo festeresti su tutti gli av. Questo è quello che fanno sempre, è solo questione di tempo

boosook

Vabbè non sto dicendo che la 2FA sia la panacea per tutti i problemi di sicurezza... bisogna sempre stare attenti 360 gradi.

Andhaka

Anche io ho la 2FA attiva su ogni account che la permette, ma per prassi aziendale mi sono abituato a cambiare password regolarmente e quindi ormai lo faccio su qualunque account che abbia un metodo di pagamento associato. Ho un programmino che controlla le date da un "database" e mi ricorda quali devono essere rinnovate. Easy peasy. ;)

Cheers

Se ricicli su paypal (o altre app e siti legati ai pagamenti) la password che usi altrove, sei proprio un collione. Se non usi MFA, doppio collione.

Non credo fosse italiano. Gli attacchi su Instagram e Reddit non potevano essere casuali e in entrambi i due social, il pirata pubblicava contenuti sull’acquisto di btc e nft in inglese.

Gli antivirus anche quelli nuovi, bucano sempre le macchine che non comprano Anti-Virus seri. Nel mio caso un Bitdefender o un KS avrebbero risolto il problema

Windows

Recensione Medion Erazer Major X10: sfida alla RTX 3060 con Intel ARC A730M | VIDEO

Tecnologia

Samsung con gli S23 chiude il cerchio, caos Netflix sulle password | HDrewind 5

Alta definizione

Recensione TV Sony OLED A95K: il mix perfetto di QD-OLED ed elettronica al top!

Android

Galaxy S23 Ultra vs S22 Ultra: le differenze da sapere e le prime impressioni