PayPal, kimlik bilgisi doldurma saldırıları yoluyla hesaplarına erişilen ve bazı kişisel verileri açığa çıkan binlerce kullanıcıya veri ihlali bildirimleri gönderiyor.
Kimlik bilgisi doldurma, bilgisayar korsanlarının çeşitli web sitelerindeki veri sızıntılarından kaynaklanan kullanıcı adı ve parola çiftlerini deneyerek bir hesaba erişmeye çalıştığı saldırılardır. PayPal'dan gelen veri ihlali raporuna göre, 34.942 kullanıcı olaydan etkilendi.
ESET Türkiye ürün ve Pazarlama Müdürü Can Erginkurban yaşanan olay ile ilgili şu değerlendirmelerde bulundu:"Etkilenen hesapların sahipleri şimdiye kadar bilgilendirilmiş olmalıydı. Üstelik ne yazık ki basit bir saldırı sonucunda erişilmiş olabilecek kişisel veri miktarı nedeniyle bu kişiler alarmda olmalılar. Kimlik bilgisi doldurma saldırısı, bir tehdit aktörünün daha önce yapılan bir saldırı sonucunda ortaya çıkmış olan kimlik bilgilerinin başka bir hesapta da denenmesi ile gerçekleşen otomatik bir saldırıdır. Siber suçlular için en kolay saldırı vektörlerinden biri olmaya devam ediyor, ancak kullanıcılar sadece birkaç adımda kolayca savuşturabilir ve hesaplarını koruyabilirler. Artık herkesin, internetteki tüm hesapları, özellikle de finansla bağlantılı olanlar için benzersiz, güçlü parolalar kullanması lazım. Hesaplara erişim çok faktörlü kimlik doğrulaması etkinleştirilerek de zorlaştırılmalıdır. Çok faktörlü doğrulama SMS ile veya bir uygulama ile kolayca sağlanabilir. PayPal'in halen oturum açma sırasında varsayılan olarak çok faktörlü kimlik doğrulamasını zorunlu tutmaması endişe verici. Eğer zorunlu tutmuş olsalardı kimlik bilgisi doldurma saldırıları başarısız olacaktı."
https://www.bleepingcomputer.com/news/security/paypal-accounts-breached-in-large-scale-credential-stuffing-attack/