电子支付平台Paypal本周通知用户,12月初有黑客发动凭证填充(credential stuffing)攻击访问用户账号,受影响人数约为3.5万。
根据Paypal本周通报美国缅因州检察长办公室的文件,他们于12月20日发现到攻击事件,经过调查,判断事件发生于12月6日到8日之间。这是一桩凭证填充事件,即攻击者从别处窃取、购得或取得过去外流的用户账号、密码等个人信息,再以大量账号及密码组合,用于Paypal账号的暴力破解。受影响用户总数为34942人。
Paypal告知用户,这桩攻击导致其个人信息可能已外泄,包括姓名、住家地址、社会安全码、个人税籍资料、电话及生日。该公司说,没有发现任何用户个人信息被误用,或是被用于非授权交易的情形。Paypal说,在发现攻击时,已经将用户个人信息加上遮罩而不再曝险、将用户密码重设、并加上高端安全控制以切断非法访问渠道。
该公司并提供受影响用户24个月的信用盗用监控服务。本次事件并非Paypal系统漏洞,而是用户重复在不同服务或网站使用同一组账号、密码组合的结果。论及漏洞,去年5月一名研究人员发现Paypal平台有个点击劫持(clickjacking)漏洞,可能让攻击者窃取用户账户中的财物。