A falha não teve origem no PayPal em si, tratando-se de mais um dos frequentes ataques em que são usadas listas de nomes de utilizador e passwords obtidas de outros serviços, e que depois são usados de forma automatizada para tentar entrar em inúmeros serviços populares. É uma técnica bastante básica mas que se revela fatal para todos os que utilizam passwords repetidas em diferentes serviços, ou até passwords idênticas, já que os bots utilizados são capazes de aplicar variações populares nas passwords - como acrescentar o nome do serviço na password, etc.
O ataque decorreu entre 6 e 8 de Dezembro, tendo sido detectado e interrompido pelo PayPal e dando origem a uma investigação para tentar descobrir a origem das credenciais - tendo sido concluído que não tiveram origem em nenhum roubo directo no seu sistema.
Embora o PayPal tenha feito reset à password das contas afectadas, os atacantes tiveram acesso aos nomes completos, datas de nascimento, números de identificação fiscal, número de segurança social, moradas, métodos de pagamento associados, e histórico das transacções, dos utilizadores em cujas contas conseguiram entrar. Curiosamente, os atacantes não tentaram efectuar quaisquer compras ou transferências nas 35 mil contas que foram acedidas.
O PayPal recomenda a todos os utilizadores que activem a autenticação de dois factores (2FA) que pede um código adicional durante o login, que impede este tipo de ataque mesmo que o atacante tenha acesso ao nome de utilizador e password.
O mesmo Paypal que até hoje não suporta chaves de segurança FIDO U2F ou sequer as FIDO2.
ResponderEliminarExiste a esperança de que vão suportar as Passkeys, que no fundo é uma versão das FIDO2 mas menos segura porque podem teoricamente ser muito mais facilmente obtidas por atacantes, já que elas são transferíveis entre dispositivos... e com centenas a milhares de problemas de segurança corrigidos todos os anos até pelas grandes empresas é de prever que as Passkeys venham a estar ao alcance de atacantes, sem falar que as próprias empresas que os armazenam podem abusar deles e por exemplo transmitir essa informação a terceiros se lhes apetecer, independentemente das "garantias", porque no final do dia elas fazem o que querem impunemente... na pior das hipóteses pagam umas multas e fica-se por aí as consequências.