電子支付平臺PayPal本周通知用戶,12月初有駭客發動憑證填充(credential stuffing)攻擊存取用戶帳號,受影響人數約為3.5萬。

根據PayPal本周通報美國緬因州檢察長辦公室的文件,他們於12月20日發現到攻擊事件,經過調查,判斷事件發生於12月6日到8日之間。這是一樁憑證填充事件,即攻擊者從別處竊取、購得或取得過去外流的用戶帳號、密碼等個資,再以大量帳號及密碼組合,用於PayPal帳號的暴力破解。受影響用戶總數為34942人。

PayPal告知用戶,這樁攻擊導致其個資可能已外洩,包括姓名、住家地址、社會安全碼、個人稅籍資料、電話及生日。該公司說,沒有發現任何用戶個資被誤用,或是被用於非授權交易的情形。PayPal說,在發現攻擊時,已經將用戶個資加上遮罩而不再曝險、將用戶密碼重設、並加上進階安全控制以切斷非法存取管道。

該公司並提供受影響用戶24個月的信用盜用監控服務。本次事件並非PayPal系統漏洞,而是用戶重覆在不同服務或網站使用同一組帳號、密碼組合的結果。論及漏洞,去年5月一名研究人員發現PayPal平臺有個點擊劫持(clickjacking)漏洞,可能讓攻擊者竊取用戶帳戶中的財物。

熱門新聞

Advertisement