Credential Stuffing
Sind die PayPal-Nutzer selbst am Datenverlust schuld?
Foto: mrmohock - shutterstock.com
Aktuell erhalten weltweit Tausende PayPal-Nutzer Benachrichtigungen des Unternehmens, da auf ihre Konten zugegriffen wurde und dabei persönliche Daten gestohlen wurden. Bei dem Cyberangriff handelt es sich um sogenanntes Credential Stuffing. Dabei versuchen Hacker auf Konten zuzugreifen, indem sie Kombinationen von Benutzernamen und Passwörtern ausprobieren, die sie zuvor aus Datenlecks verschiedener Webseiten gesammelt haben.
Die Anmeldedaten werden regelrecht in die Login-Masken "gestopft", da Bots automatisiert und sehr schnell lange Listen von Login-Daten auf verschiedenen Webseiten einfügen. Besonders gefährlich ist das Credential Stuffing für Nutzer, die dasselbe Passwort für mehrere Online-Konten verwenden.
Lesetipp: Wie Credential Stuffing unbemerkt bleibt
PayPal streitet Schuld an Datenverlust ab
Wie Bleeping Computer berichtet, hat der Angriff PayPal zufolge zwischen dem 6. und 8. Dezember 2022 stattgefunden. Das Unternehmen habe den Angriff entschärft, die Passwörter der betroffenen Konten zurückgesetzt und interne Untersuchungen eingeleitet. Am 20. Dezember konnte PayPal bestätigen, dass sich unbefugte Dritte mit gültigen Anmeldedaten bei Kundenkonten eingeloggt hatten. Allerdings behauptet der Online-Bezahldienst, dass der Datenschutzverstoß nicht auf einen Fehler in seinen Systemen zurückzuführen sei und dass es keine Beweise dafür gebe, dass die Benutzerdaten direkt von der PayPal-Plattform gestohlen wurden.
Der Analyse des Anbieters zufolge sind 34.942 Nutzer von dem Sicherheitsvorfall betroffen. Die Angreifer konnten ihre vollständigen Namen, Geburtsdaten, Postadressen, Sozialversicherungsnummern und Steuernummern einsehen. Allerdings hätten die Hacker weder versucht, noch seien sie dazu in der Lage gewesen, Transaktionen von den angegriffenen PayPal-Konten aus durchzuführen.
"Uns liegen keine Informationen vor, die darauf hindeuten, dass Ihre persönlichen Daten infolge dieses Vorfalls missbraucht wurden oder dass sich auf Ihrem Konto unbefugte Transaktionen befinden", zitiert Bleeping Computer die Mitteilung von PayPal an die betroffenen Nutzer. Das Unternehmen empfiehlt den Kunden, die Passwörter für ihre Online-Konten zu ändern und wo möglich die Zwei-Faktor-Authentifizierung (ZFA) zu aktivieren. Wie Sie die ZFA für PayPal aktivieren, lesen Sie hier.
Lesetipp: Welche Zwei-Faktor-Authentifizierung ist sinnvoll?
Hätten die User vorsichtiger sein müssen?
Da PayPal jegliche Schuldzuweisung von sich weist, stellt sich die Frage, ob die User selbst wachsamer hätten sein müssen. Schließlich kann jeder Nutzer seine Passwörter frei wählen und hat über PayPal die Möglichkeit, die ZFA zu aktivieren. Auf der anderen Seite sollten die Anbieter von Online-Diensten sich zu strengen Sicherheitsmaßnahmen verpflichten, um ihre Kunden zu schützen. So unterstützen zum Beispiel Apple, Google und Microsoft bereits den FIDO-Standard (Fast Identity Online), der es Nutzern ermöglicht, sich ohne Passwort zu authentifizieren. Diese Methode gilt als besonders sicher, da die Informationen zur Authentifizierung niemals das Gerät des Nutzers verlassen.
Lesetipp: Eine Zukunft ohne Passwörter rückt näher