Paypal: Datenleck nach Zugangsdaten-Durchtesten von Angreifern
Paypal hat ein Datenleck bei der Generalstaatsanwaltschaft von Maine gemeldet. Angreifer hätten Zugangsdaten durchgetestet und Zugriff auf Konten erhalten.
(Bild: @francois CC-BY 2.0)
Paypal hat bei der Generalstaatsanwaltschaft Maine das unbefugte Abfließen von persönlich identifizierbaren Informationen (PII) gemeldet, also ein Datenleck. Angreifer hätten bei einer Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet – und hatten in vielen Fällen Erfolg.
Paypal: Unbefugte Zugriffe auf persönliche Informationen
Laut der eingerichteten Anzeige hätten unbefugte Dritte dadurch Zugriff auf die Namen der Kunden, deren Adressen, Social Security-Nummern, Steueridentifikationsnummern sowie Geburtsdaten. Paypal hat an von dem Vorfall betroffene Kunden inzwischen eine Benachrichtigung geschickt, die sie über das Datenleck informieren sollen.
Laut Medienberichten wurde der Angriff von Paypal am 20. Dezember des vergangenen Jahres entdeckt, bei dem die Cyberkriminellen unbefugt Zugriff auf bestimmte Kundenkonten mit deren Zugangsdaten erlangen konnten. Bei der eingeleiteten Untersuchung stellte sich heraus, dass die Zugriffe auf die betroffenen Konten zwischen dem 06. und 08. Dezember stattfanden. Dabei stellte Paypal fest, dass die Angreifer auf persönliche Informationen zugreifen und diese potenziell stehlen konnten.
Offenbar konnten die Cyberkriminellen auf rund 35.000 Kundenkonten zugreifen. Nicht bei allen betroffenen Kunden waren alle vorgenannten persönlichen Daten zugreifbar. Die Benachrichtigungen an betroffene Kunden hat Paypal ab dem Mittwoch dieser Woche versendet. Dort erläutert das Unternehmen, dass ihm keine Informationen vorlägen, "die darauf hindeuten, dass Ihre persönlichen Daten als Folge dieses Vorfalls missbraucht wurden oder dass es unberechtigte Transaktionen auf Ihrem Konto gab."
Damit dürften die betroffenen Paypal-Kunden Glück im Unglück gehabt haben. Nach dem Log-in ist es in der Regel ein Leichtes, zumindest kleinere Summen via Paypal zu verschicken. Paypal gibt an, die Passwörter erfolgreich angegriffener Konten zurückgesetzt und erweiterte Sicherheitsprüfungen implementiert zu haben. Zudem bietet das Unternehmen Betroffenen an, die Identitätsüberwachung von Equifax zu nutzen.
Lesen Sie auch
„Credential Stuffing“: Sicherheitsproblem Bequemlichkeit
Zweiter Vorfall bei Roku: Fast 600.000 Nutzerkonten betroffen
GMX- und Web.de zeigen viele fehlerhafte Log-in-Versuche
23andme: "Fahrlässige" User selbst schuld an Datendiebstahl, Klagen zwecklos
Standard-Passwörter: US-Bundesbehörde CISA klopft Herstellern auf die Finger
(dmk)