Para contextualizar, el credential stuffing o reutilización de credenciales es un tipo de ciberataque que se hace con las credenciales de cuentas hackeadas. Lo más sorprendente es que este ataque se hace de forma automatizada con bots que ejecutan listas de credenciales para «rellenar» los portales de inicio de sesión de diversos servicios.
35.000 usuarios de PayPal afectados
PayPal anunció que un ataque de "credential stuffing" ocurrió entre el 6 y 8 de diciembre de 2022, detectándolo y mitigándolo al momento. Además, iniciaron una investigación interna para determinar cómo se obtuvo acceso a estas cuentas.
A finales de diciembre, la empresa finalizó su examen interno y determinó que personas externas habían accedido a las cuentas, utilizando contraseñas válidas. Según un informe de PayPal, 34.942 de sus usuarios han sido afectados por el incidente. Durante los dos días posteriores, los ciberdelincuentes tuvieron acceso a los nombres completos, fechas de nacimiento, direcciones postales, números de la seguridad social y números de identificación fiscal de los titulares de las cuentas, así como a los historiales de transacciones, detalles de tarjetas de crédito o débito conectadas y datos de facturación. Es decir, toda la información contenida en un perfil bien completo del PayPal.
PayPal garantiza haber tomado las acciones necesarias para limitar el acceso de personas no autorizadas a su plataforma y restaurar las contraseñas de las cuentas que han sido violadas.
Finalmente, PayPal ha dicho en su defensa que no tienen “información que sugiera que se haya hecho un uso indebido de su información personal como resultado de este incidente, o que haya transacciones no autorizadas en su cuenta. Hemos restablecido las contraseñas de las cuentas PayPal afectadas y hemos implementado controles de seguridad mejorados que requerirán que establezca una nueva contraseña la próxima vez que inicie sesión en su cuenta”.