< Total Computer Italia > Gaming, Software, Hardware, Notizie 
Si è verificata una debacle in PayPal al livello di quanto accaduto in Twitter o in altre società in quel momento. Ed è niente di meno che 35.000 account sono stati violati… Anche se in realtà il termine non dovrebbe essere tale. Il modo per ottenere i dati di questi ha una grande responsabilità da parte degli utenti, ma anche, e ovviamente, dell’azienda. L’esposizione è stata davvero alta, è tremendamente preoccupante e, quindi, PayPal ha dovuto venire alla ribalta sul hacking di così tante migliaia di account.
L’hacking è avvenuto lo scorso dicembre, nello specifico, tra 6 e 8 di detto mese. Questa volta in cui l’azienda è rimasta in silenzio oltre a commentare di aver avuto una violazione della sicurezza è servita a spiegare il danno e la portata del problema… Ed è davvero grave.
PayPal e l’hacking di 35.000 account altamente esposti
Come sei riuscito ad hackerare così tanti account contemporaneamente? E allo stesso tempo così pochi? Il numero è alto, ma non corrisponde a una massiccia violazione della sicurezza come abbiamo visto in altre occasioni e aziende. È, per dirla in qualche modo, un numero limitato piuttosto importante, ma non critica a livello globale.
Ebbene, gran parte di quanto accaduto ricade sotto la responsabilità della sicurezza informatica degli utenti. Gli aggressori hanno utilizzato ciò che è noto come Ripieno di credenzialiche traducendo il termine nella nostra lingua viene indicato come ripieno di credenzialio il più usato: riutilizzo delle credenziali per legittimare un furto.
In altre parole, è un tipo di attacco che si basa sulle credenziali rubate di altri siti web, che ha la particolarità di essere condivise entrambe. lo stesso nome utente o e-maile lo stesso parola d’ordine. È il tipico caso dell’utente che utilizza la stessa email e password in molti posti… O in tutti. Da Computer sanguinante si riporta quanto segue:
“Nel corso dei due giorni, gli hacker hanno avuto accesso ai nomi completi, alle date di nascita, agli indirizzi postali, ai numeri di previdenza sociale e ai numeri di identificazione fiscale dei titolari dei conti. La cronologia delle transazioni, i dettagli delle carte di credito o di debito collegate e le informazioni di fatturazione PayPal sono accessibili anche nei conti PayPal.”
Come possiamo vedere, sono stati in grado di accedere a quasi tutti i dati di PayPal, perché, dopo tutto, l’accesso era apparentemente legale, poiché c’erano un nome utente e una password validi in tutti i casi, ma ovviamente PayPal ha bloccato l’intrusione non appena se ne è accorta, ma era troppo tardi…
L’azienda non è stata hackerata, lo sono stati i suoi utenti
Il problema è che l’uso dello stesso account o e-mail, l’uso della stessa password da parte degli utenti, è inevitabile colpa di quell’utente. Inoltre, PayPal ha verifica in due fasiquindi se l’utente non desidera attivarlo, si scopre che l’azienda può fare ben poco oltre a rilevare che si accede contemporaneamente a migliaia di account da una serie di posizioni identiche in tutti i casi.
È anche vero che in un caso di Credential Stuffing come questo hack sugli account PayPal, molte volte ci sono molti errori di accesso, principalmente perché molti di quegli utenti potrebbero Sì, hanno cambiato le chiavima 35.000 di loro sono stati compromessi da questo hack di PayPal.
Questo è un altro esempio del perché alle aziende piace Google, Apple o Microsoft vogliono eliminare le password in quanto tali in futuro. Gli utenti, come regola generale, come persone comuni senza molta conoscenza della sicurezza di Internet, non sono consapevoli del pericolo che corrono utilizzando le stesse password in ogni servizio a cui si iscrivono, anche nelle banche. Le aziende non possono occuparsene semplicemente, perché alla fine È una decisione e una responsabilità di ogni persona.
Ma sì quello può offrire strumenti e servizi più avanzati che in qualche modo costringono l’utente a identificarsi validamente, anche se un utente malintenzionato ha la password. In ogni caso, e come ha detto PayPal nella loro e-mail, cambia la tua password e attiva la verifica in due passaggi, per ogni evenienza…
