Credential Stuffing

Sind die PayPal-Nutzer selbst am Datenverlust schuld?

Sensible Daten von fast 35.000 PayPal-Nutzerkonten sind gestohlen worden. Der Anbieter streitet jedoch ab, am Breach schuld zu sein.
Von 
CSO | 23. Januar 2023 09:11 Uhr
Für die Zwei-Faktor-Authentifizierung zum Login können PayPal-Kunden derzeit zwischen einem Code per SMS, einer Authentifizierungsapp oder einem Sicherheitsschlüssel wählen.
Für die Zwei-Faktor-Authentifizierung zum Login können PayPal-Kunden derzeit zwischen einem Code per SMS, einer Authentifizierungsapp oder einem Sicherheitsschlüssel wählen.
Foto: mrmohock - shutterstock.com

Aktuell erhalten weltweit Tausende PayPal-Nutzer Benachrichtigungen des Unternehmens, da auf ihre Konten zugegriffen wurde und dabei persönliche Daten gestohlen wurden. Bei dem Cyberangriff handelt es sich um sogenanntes Credential Stuffing. Dabei versuchen Hacker auf Konten zuzugreifen, indem sie Kombinationen von Benutzernamen und Passwörtern ausprobieren, die sie zuvor aus Datenlecks verschiedener Webseiten gesammelt haben.

Die Anmeldedaten werden regelrecht in die Login-Masken "gestopft", da Bots automatisiert und sehr schnell lange Listen von Login-Daten auf verschiedenen Webseiten einfügen. Besonders gefährlich ist das Credential Stuffing für Nutzer, die dasselbe Passwort für mehrere Online-Konten verwenden.

Lesetipp: Wie Credential Stuffing unbemerkt bleibt

PayPal streitet Schuld an Datenverlust ab

Wie Bleeping Computer berichtet, hat der Angriff PayPal zufolge zwischen dem 6. und 8. Dezember 2022 stattgefunden. Das Unternehmen habe den Angriff entschärft, die Passwörter der betroffenen Konten zurückgesetzt und interne Untersuchungen eingeleitet. Am 20. Dezember konnte PayPal bestätigen, dass sich unbefugte Dritte mit gültigen Anmeldedaten bei Kundenkonten eingeloggt hatten. Allerdings behauptet der Online-Bezahldienst, dass der Datenschutzverstoß nicht auf einen Fehler in seinen Systemen zurückzuführen sei und dass es keine Beweise dafür gebe, dass die Benutzerdaten direkt von der PayPal-Plattform gestohlen wurden.

Der Analyse des Anbieters zufolge sind 34.942 Nutzer von dem Sicherheitsvorfall betroffen. Die Angreifer konnten ihre vollständigen Namen, Geburtsdaten, Postadressen, Sozialversicherungsnummern und Steuernummern einsehen. Allerdings hätten die Hacker weder versucht, noch seien sie dazu in der Lage gewesen, Transaktionen von den angegriffenen PayPal-Konten aus durchzuführen.

"Uns liegen keine Informationen vor, die darauf hindeuten, dass Ihre persönlichen Daten infolge dieses Vorfalls missbraucht wurden oder dass sich auf Ihrem Konto unbefugte Transaktionen befinden", zitiert Bleeping Computer die Mitteilung von PayPal an die betroffenen Nutzer. Das Unternehmen empfiehlt den Kunden, die Passwörter für ihre Online-Konten zu ändern und wo möglich die Zwei-Faktor-Authentifizierung (ZFA) zu aktivieren. Wie Sie die ZFA für PayPal aktivieren, lesen Sie hier.

Lesetipp: Welche Zwei-Faktor-Authentifizierung ist sinnvoll?

Hätten die User vorsichtiger sein müssen?

Da PayPal jegliche Schuldzuweisung von sich weist, stellt sich die Frage, ob die User selbst wachsamer hätten sein müssen. Schließlich kann jeder Nutzer seine Passwörter frei wählen und hat über PayPal die Möglichkeit, die ZFA zu aktivieren. Auf der anderen Seite sollten die Anbieter von Online-Diensten sich zu strengen Sicherheitsmaßnahmen verpflichten, um ihre Kunden zu schützen. So unterstützen zum Beispiel Apple, Google und Microsoft bereits den FIDO-Standard (Fast Identity Online), der es Nutzern ermöglicht, sich ohne Passwort zu authentifizieren. Diese Methode gilt als besonders sicher, da die Informationen zur Authentifizierung niemals das Gerät des Nutzers verlassen.

Lesetipp: Eine Zukunft ohne Passwörter rückt näher

Jetzt kostenlos für den CSO-Newsletter anmelden

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.