Im Dezember 2022 wurde der Zahlungsdienstleister Paypal durch einen Credential-Stuffing-Angriff kompromittiert. Laut Unternehmen fand der Übergriff zwischen dem 6. und 8. Dezember statt. Nach offiziellen Angaben sind 34.942 Nutzer betroffen. Die Hacker erbeuteten Namen, Geburtsdaten, Postanschriften, Sozialversicherungsnummern und individuelle Steueridentifikationsnummern der Kontoinhaber und hatten während des Übergriffs vollen Zugriff auf die Konten. Es gelang Ihnen aber nicht, Transaktionen durchzuführen. PayPal hat mitgeteilt, dass der Übergriff „erkannt und begrenzt“ wurde und alle Opfer bereits informiert sind. Trotzdem bleibt eine große Unsicherheit bei den Opfern, denn die sensiblen Daten, die die Hacker erbeuten konnten, dienen meist als Grundlage für weitere kriminelle Taten und Übergriffe.
Nach Hackerangriff: PayPal gibt Hinweise für Nutzer
Der Dienstleister PayPal gibt konkrete und wichtige Hinweise für alle Kunden zum weiteren Umgang mit den Konten und schreibt: „Wir haben die Passwörter der betroffenen PayPal-Konten zurückgesetzt und erweiterte Sicherheitskontrollen implementiert, die Sie dazu auffordern, ein neues Passwort einzurichten, wenn Sie sich das nächste Mal bei Ihrem Konto anmelden“.
Zur eigenen Sicherheit sollten alle Nutzer jetzt den Zwei-Faktor-Authentifizierungsschutz (2FA) im Menü „Kontoeinstellungen“ aktivieren. Er verhindert den Kontenzugriff durch unbefugte Dritte – selbst wenn diese den Benutzernamen und ein gültiges Passwort eingeben – und ist deshalb ein sicherer Schutz. Zudem sollten Passwörter geändert werden. Als sicher gelten Passwörter, wenn sie aus einer Kombination aus Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen gebildet werden und mindestens 12 Zeichen lang sind. Sinnvoll ist eine wahllose Kombination von Zeichen, Zahlen und Buchstaben. Namen der Familie oder von Haustieren sowie Geburtsdaten gehören nicht zu den sicheren Passwörtern.
Die knapp 35.000 Opfer des Hackerangriffs erhalten für 24 Monate einen kostenfreien Identitätsüberwachungsservice der Firma Equifax. Ob und wie diese Nutzer entschädigt werden, ist derzeit nicht bekannt. PayPal arbeitet noch an der Auswertung des Übergriffs und hat keine weiteren Details genannt. Alle Nutzer sollten jetzt besonders aufmerksam sein und besser die Sicherheitseinstellungen updaten und neue Passwörter vergeben.