Nach Hackerangriff: PayPal meldet Verlust von Kundendaten

Unbekannte haben Sozialversicherungsnummern und andere vertrauliche Daten von 35.000 PayPal-Nutzern erbeutet. Der Bezahldienstleister wurde eigenen Angaben zufolge das Opfer eines Credential-Stuffing-Angriffs. Der Vorfall ereignete sich bereits zwischen dem 6. und 8. Dezember 2022 – entdeckt wurde er am 20. Dezember.

Einer Meldung an die zuständige Regulierungsbehörde des US-Bundesstaats Maine zufolge wurde neben Sozialversicherungsnummern auch Nutzernamen, Anschriften, Geburtsdaten und individuelle Steuernummern kompromittiert. Es gebe jedoch keine Hinweise auf Zugriffe auf Finanzdaten oder einen Missbrauch von Kundenkonten, so PayPal weiter. Auch sei das Zahlungssystem nicht betroffen gewesen.

PayPal setzt Passwörter betroffener Konten zurück

Gegenüber CNET erklärte das Unternehmen, die betroffenen Kunden seien bereits informiert worden. Es seien auch die Passwörter aller betroffenen Konten zurückgesetzt worden – Kunden müssten bei der nächsten Anmeldung ein neues Kennwort vergeben. Betroffenen bietet PayPal zudem für zwei Jahre einen kostenloses Service zum Schutz vor Identitätsdiebstahl an.

Bei einem Credential-Stuffing-Angriff versuchen Cyberkriminelle, mit bereits durchgesickerten Kombinationen aus Nutzernamen und Kennwörtern möglichst viele Konten eines Diensteanbieters zu kapern. Sicherheitsexperten empfehlen als Schutz vor diesen Attacken, eine Anmeldung in zwei Schritten zu konfigurieren. PayPal unterstützt neben Hardware-Sicherheitsschlüsseln auch Authentifizierungs-Apps von Drittanbietern und den Versand von Codes per SMS.