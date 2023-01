Paypal meldete einen Datenschutzverstoß bei den Behörden. Foto: JUSTIN SULLIVAN, AFP

Wie jetzt bekannt wurde, meldete Paypal am Mittwoch bei der Staatsanwaltschaft von Maine einen Datenschutzverstoß. Das Unternehmen gab an, dass vertrauliche Kundendaten offenbar für eine so genannte Credential-Stuffing-Attacke genutzt wurden.

Dem offiziellen Bericht des Unternehmens zufolge haben die Angreifer Zugang zu den Namen, Adressen, Sozialversicherungsnummern, Steueridentifikationsnummern und Geburtsdaten der Kunden erlangt. Nachdem das Datenleck bekannt wurde, hat Paypal damit begonnen die Betroffenen Kunden zu informieren.

PayPal erfuhr am 20. Dezember 2022, dass eine oder mehrere unbefugte Personen in der Lage waren, auf bestimmte Kundenkonten zuzugreifen, indem sie deren Anmeldedaten verwendeten. Daraufhin leitete PayPal eine Untersuchung des Vorfalls ein und bestätigte, dass die Angreifer zwischen dem 6. Dezember 2022 und dem 8. Dezember 2022 auf die betroffenen Konten zugreifen konnten. Die Cyberkriminellen waren in dieser Zeit in der Lage, persönliche Daten der betroffenen PayPal-Nutzer einzusehen und möglicherweise zu stehlen, berichtet "Techradar".

Glück im Unglück

Die betroffenen Informationen variieren von Person zu Person. Nach der Entdeckung des Lecks hat PayPal die betroffenen Dateien überprüft, um festzustellen, welche Informationen kompromittiert wurden und welche Kunden davon betroffen sind. Die Daten können Namen, Ihre Adresse, Sozialversicherungsnummer, Steueridentifikationsnummer und Geburtsdatum der Betroffenen umfassen.

Paypal verschickt seit Mittwoch Schreiben an identifizierte betroffene Userinnen und User. Offenbar konnten die Angreifer auf rund 35.000 Konten zugreifen. Laut den von Paypal verschickten Informationen sei es aber in den meisten Fällen nicht zu Missbrauch oder unbefugten Transaktionen gekommen. Paypal hat die Passwörter der betroffenen Konten zurückgesetzt.

Was ist Credential Stuffing?

Credential Stuffing ist eine Cyberangriffsmethode, bei der Angreifer Listen kompromittierter Benutzeranmeldedaten verwenden, um in ein System einzudringen. Der Angriff nutzt Bots zur Automatisierung und basiert auf der Annahme, dass viele User Benutzernamen und Passwörter über mehrere Dienste hinweg wiederverwenden. Statistiken zeigen, dass etwa 0,1 Prozent der kompromittierten Anmeldedaten, die bei einem anderen Dienst versucht werden, zu einer erfolgreichen Anmeldung führen. Woher die Daten stammen, die nun für den Angriff auf Paypal verwendet wurden, ist unklar. (pez, 22.1.2023)