Wie jetzt bekannt wurde, hat Paypal am vergangenen Mittwoch bei der Staatsanwaltschaft des US-Bundesstaats Maine einen Datenschutzverstoß gemeldet. Das Unternehmen gab dabei an, dass vertrauliche Kundendaten offenbar für eine sogenannte Credential-Stuffing-Attacke genutzt wurden.

Dem offiziellen Bericht des Unternehmens zufolge haben die Angreifer Zugang zu den Namen, Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern und Geburtsdaten der Kunden erlangt. Nachdem das Datenleck bekannt wurde, hat Paypal damit begonnen, die betroffenen Kunden zu informieren.

Paypal erfuhr demnach am 20. Dezember, dass eine oder mehrere unbefugte Personen in der Lage waren, auf bestimmte Kundenkonten zuzugreifen, indem sie deren Anmeldedaten verwendeten. Daraufhin leitete Paypal eine Untersuchung ein und bestätigte, dass die Angreifer zwischen 6. und 8. Dezember auf die betroffenen Konten zugreifen konnten. Sie waren in dieser Zeit in der Lage, persönliche Daten der betroffenen Paypal-Nutzer einzusehen und möglicherweise zu stehlen, berichtet "Techradar".

Glück im Unglück

Die betroffenen Informationen variieren von Person zu Person. Nach der Entdeckung des Lecks hat Paypal die betroffenen Dateien überprüft, um festzustellen, welche Informationen kompromittiert wurden und welche Kunden davon betroffen sind. Die Daten können Namen, Ihre Adresse, Sozialversicherungsnummer, Steueridentifikationsnummer und Geburtsdatum der Betroffenen umfassen.

Paypal verschickt seit Mittwoch Schreiben an identifizierte Userinnen und User. Offenbar konnten die Angreifer auf rund 35.000 Konten zugreifen. Laut den von Paypal verschickten Informationen kam es aber in den meisten Fällen nicht zu Missbrauch oder unbefugten Transaktionen. Paypal hat die Passwörter der betroffenen Konten zurückgesetzt.

Was ist Credential Stuffing?

Credential Stuffing ist eine Cyberangriffsmethode, bei der Angreifer Listen kompromittierter Benutzeranmeldedaten verwenden, um in ein System einzudringen. Der Angriff nutzt Bots zur Automatisierung und basiert auf der Annahme, dass viele User Benutzernamen und Passwörter über mehrere Dienste hinweg wiederverwenden. Statistiken zeigen, dass etwa 0,1 Prozent der kompromittierten Anmeldedaten, die bei einem anderen Dienst versucht werden, zu einer erfolgreichen Anmeldung führen. Woher die Daten stammen, die nun für den Angriff auf Paypal verwendet wurden, ist unklar. (pez, 22.1.2023)