Paypal: Datenleck nach Zugangsdaten-Durchtesten von Angreifern

Paypal hat ein Datenleck bei der Generalstaatsanwaltschaft von Maine gemeldet. Angreifer hätten Zugangsdaten durchgetestet und Zugriff auf Konten erhalten.

In Pocket speichern vorlesen Druckansicht 249 Kommentare lesen
PayPal-Schild

(Bild: @francois CC-BY 2.0)

Lesezeit: 2 Min.
Von

Paypal hat bei der Generalstaatsanwaltschaft Maine das unbefugte Abfließen von persönlich identifizierbaren Informationen (PII) gemeldet, also ein Datenleck. Angreifer hätten bei einer Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet – und hatten in vielen Fällen Erfolg.

Laut der eingerichteten Anzeige hätten unbefugte Dritte dadurch Zugriff auf die Namen der Kunden, deren Adressen, Social Security-Nummern, Steueridentifikationsnummern sowie Geburtsdaten. Paypal hat an von dem Vorfall betroffene Kunden inzwischen eine Benachrichtigung geschickt, die sie über das Datenleck informieren sollen.

Laut Medienberichten wurde der Angriff von Paypal am 20. Dezember des vergangenen Jahres entdeckt, bei dem die Cyberkriminellen unbefugt Zugriff auf bestimmte Kundenkonten mit deren Zugangsdaten erlangen konnten. Bei der eingeleiteten Untersuchung stellte sich heraus, dass die Zugriffe auf die betroffenen Konten zwischen dem 06. und 08. Dezember stattfanden. Dabei stellte Paypal fest, dass die Angreifer auf persönliche Informationen zugreifen und diese potenziell stehlen konnten.

Offenbar konnten die Cyberkriminellen auf rund 35.000 Kundenkonten zugreifen. Nicht bei allen betroffenen Kunden waren alle vorgenannten persönlichen Daten zugreifbar. Die Benachrichtigungen an betroffene Kunden hat Paypal ab dem Mittwoch dieser Woche versendet. Dort erläutert das Unternehmen, dass ihm keine Informationen vorlägen, "die darauf hindeuten, dass Ihre persönlichen Daten als Folge dieses Vorfalls missbraucht wurden oder dass es unberechtigte Transaktionen auf Ihrem Konto gab."

Damit dürften die betroffenen Paypal-Kunden Glück im Unglück gehabt haben. Nach dem Log-in ist es in der Regel ein Leichtes, zumindest kleinere Summen via Paypal zu verschicken. Paypal gibt an, die Passwörter erfolgreich angegriffener Konten zurückgesetzt und erweiterte Sicherheitsprüfungen implementiert zu haben. Zudem bietet das Unternehmen Betroffenen an, die Identitätsüberwachung von Equifax zu nutzen.

(dmk)