PayPal tem 35 mil contas invadidas em ataque com credenciais roubadas

Os perfis de 34,9 mil usuários do PayPal foram comprometidos após um ataque cibercriminoso que contou com credenciais roubadas para ganhar acesso às contas. De acordo com a empresa, o golpe aconteceu no início de dezembro e não resultou na realização de transações ou transferências fraudulentas, mas pode ter exposto alguns dados pessoais das vítimas do incidente.

• 8 dicas para manter a segurança de suas senhas
• PayPal | Quais são os riscos e como proteger contas da plataforma financeira

Apenas usuários dos Estados Unidos foram atingidos, segundo a empresa de pagamentos, e todos já estão sendo contatados sobre o caso. A exposição envolve nomes completos, endereços, telefones, datas de nascimento e documentos pessoais, com o ataque tendo sido realizado a partir de combinações de login e senha vazadas na internet — o PayPal não confirmou se as credenciais eram do próprio serviço ou de terceiros.

Em registro feito junto ao governo dos EUA, a plataforma fala em um pequeno número de usuários, sem acesso aos sistemas internos do próprio PayPal ou nenhum tipo de informação financeira dos usuários. Às vítimas, além de auxílio, foi oferecido dois anos de um serviço de proteção de identidade, que os alertará caso seus dados sejam utilizados por terceiros na criação de contas, pedidos de crédito ou outros tipos de fraude.

O golpe foi definido como do tipo credential stuffing, com o próprio PayPal citando a ofensiva cibercriminosa como automatizada. Em ataques desse tipo, credenciais vazadas são testadas em sucessão contra outros serviços online, na expectativa de que os usuários não sigam melhores práticas de segurança e repitam as combinações de login e senha em mais de um serviço.

Enquanto não se sabe exatamente de onde vieram as informações usadas no golpe contra o PayPal, a empresa deixa claro que o vazamento não ocorreu a partir de seus sistemas internos. Ainda, a companhia diz desconhecer qualquer atividade maliciosa resultante da exposição de dados de seus clientes e que segue monitorando o caso.

A recomendação aos usuários é a de uso de senhas seguras e complexas, que não sejam fáceis de se adivinhar. Repetir combinações, principalmente em serviços mais sensíveis como redes sociais, financeiros e e-mail, também é um perigo dos grandes, já que o comprometimento de um pode acabar resultando em ataques contra outros, como no caso do PayPal.

Ativar sistemas de autenticação em duas etapas também ajuda a proteger contas de invasões desse tipo, já que, mesmo tendo acesso a seu login e senha, os invasores precisarão de um terceiro código para ter acesso à plataforma. Por fim, vale a pena manter sistemas operacionais e apps atualizados, assim como soluções de segurança no PC s smartphone, que ajudem a detectar sites suspeitos que tentem roubar credenciais ou alertem sobre riscos envolvendo login.

Fonte: PayPal (Escritório do procurador geral do Maine)