Près de 35 000 comptes d’utilisateurs PayPal ont été piratés par ce que l’on appelle le « credential stuffing », rapporte Bleeping Computer. PayPal a réussi à arrêter l’intrusion de deux jours et à réinitialiser les mots de passe des utilisateurs concernés.
Près de 35 000 comptes d’utilisateurs PayPal ont été consultés lors d’une faille de sécurité
En fait, les propres serveurs de PayPal n’ont pas été piratés. La raison du piratage était ce qu’on appelle le « credential stuffing », une technique utilisée par les pirates pour accéder aux comptes d’utilisateurs. Ce type d’attaque se produit lorsqu’un pirate utilise des informations de connexion précédemment divulguées – et si l’utilisateur les a réutilisées pour son compte PayPal, le pirate peut y accéder. L’intrusion aurait duré deux jours, entre le 6 décembre et le 8 décembre 2022, et aurait touché 34 942 comptes d’utilisateurs. Il est possible que les pirates aient pu accéder à une quantité importante d’informations personnelles sur les utilisateurs concernés, notamment les noms complets, les dates de naissance, les adresses postales, les numéros de sécurité sociale et les numéros d’identification fiscale individuels. En plus de cela, les pirates avaient accès aux historiques de transactions, aux détails des cartes de crédit et de débit connectées et aux données de facturation PayPal. Cependant, PayPal a pu arrêter l’attaque et réinitialiser les mots de passe des utilisateurs afin que les pirates perdent l’accès. La plate-forme de paiement en ligne populaire rassure qu’aucune transaction non autorisée n’a été tentée. Les utilisateurs concernés bénéficient également de deux années gratuites de surveillance du crédit d’Equifax.
Dans l’ensemble, cela aurait pu devenir une très mauvaise situation si les pirates essayaient d’effectuer des transactions à partir des comptes des utilisateurs concernés. Heureusement, cela ne s’est pas produit. L’ensemble de la situation montre que ne pas réutiliser le même mot de passe sur toutes les plateformes (en particulier PayPal ou d’autres plateformes de paiement) est d’une importance primordiale.
Fondamentalement, PayPal n’a pas été piraté ; donc si les utilisateurs n’avaient pas réutilisé les mots de passe, ils n’auraient pas non plus été piratés. Donc, mieux vaut ne pas réutiliser les mots de passe. Si vous avez du mal à vous souvenir de tous vos mots de passe, vous pouvez utiliser un service comme 1Password ou d’autres gestionnaires de mots de passe. De plus, vous pouvez bénéficier de l’authentification à deux facteurs de PayPal pour une sécurité encore plus stricte de votre compte.