Titulares

lunes, 23 de enero de 2023

PayPal expone información personal de usuarios

Santo Domingo, 23 de enero de 2023. Según PayPal, entre el 6 y el 8 de diciembre de 2022 terceros no autorizados accedieron a cuentas de clientes utilizando sus credenciales de inicio de sesión.

PayPal informa que no hay evidencia de que las credenciales hayan sido obtenidas de los sistemas de PayPal, con lo cual las credenciales deben haber sido obtenidas de brechas de seguridad pasadas y lograron acceder mediante algún tipo de ataque de fuerza bruta.

Durante dos días los atacantes tuvieron acceso a datos como nombre, dirección, número de seguro social, número de identificación tributaria o fecha de nacimiento.

Según la empresa ESET, eL acceso a las cuentas de PayPal también permitió obtener el historial de transacciones y algunos datos de las tarjetas vinculadas.

“El riesgo de que hayan tenido acceso a esta información está relacionado con la posibilidad de ser blanco de ataques de phishing o de robo de identidad. Los atacantes pueden comercializar estos datos o pueden incluso utilizarlos ellos mismos para realizar fraude”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Uno de las primeras medidas que tomó la app fue resetear las contraseñas de las cuentas afectadas en el incidente. De esta manera obligó a las personas a tener que establecer una nueva contraseña la próxima vez que inicien sesión.

De acuerdo a información que publica BleepingComputer, el número de personas afectadas por este acceso indebido es de casi 35.000 cuentas. Además, afirman que se trató de un ataque que se conoce como credential stuffing, que es cuando cibercriminales de manera automatizada prueban con direcciones de correos y contraseñas que fueron filtradas en brechas pasadas hasta dar con alguna cuenta que siga utilizando esas mismas claves.

Desde ESET recomiendan más allá de cambiar la contraseña por una que sea extensa y segura para mayor tranquilidad, activar la autenticación en dos pasos para que la seguridad de la cuenta no recaiga exclusivamente en la contraseña.
« PREVIO
SIGUIENTE »

No hay comentarios

Publicar un comentario