一个贝宝安全问题通知从周三开始,1月18日,美国12月6日至8日,2022年,黑客获得未授权访问账户成千上万的用户。
BleepingComputer报道称,估计数量的账户被恶意参与者通过credential-stuffing攻击是34942。
Credential-stuffing帐户
用户帐户的所有服务都是容易受到攻击,如果他们为每个平台使用相同的密码。
根据《福布斯》,当一个恶意演员雇佣了一个自动化的过程尝试登录服务从一个帐户凭据被破坏,他们推出credential-stuffing攻击。因此,专家们强烈反对几个账户使用同一个密码。
确认的网络攻击是12月20日2022年根据官方声明所有账户持有人交付。进一步保证贝宝没有证据表明任何个人信息利用是因为这个事件或有任何非法交易账户。
截至2022年12月8日,未经授权的第三方为受影响的账户被淘汰。
破坏数据
PayPal称,攻击者可能获得的名字,家庭住址,社会安全号码,个人税务识别号码,和/或生日。另一方面,公司没有发现任何欺诈活动的迹象。
客户有他们的贝宝帐户妥协可能获得免费的身份监控Equifax两年了。
最近协调凭据填料黑客并不影响贝宝客户没有得到安全问题的通知。
然而,如果你登录凭证在许多相同的服务,你应该立即改变为每个不同的和安全的密码。如果你使用一个密码组织者1密码或Bitwarden一样,这将是一个更容易的过程。
相关故事:MailChimp的报告数据泄露事件
专家的观点
Tanium首席安全顾问蒂莫西·莫里斯建议用户必须打开尽可能多因素身份验证(MFA)。
强大的MFA需要三个因素:你知道什么(识别),你所拥有的(令牌,键),你是谁(生物)。
博士ImmuniWeb创造者和欧洲刑警组织数据保护专家网络参与者髂骨Kolochenko问题为什么MFA不是默认了贝宝等重要平台。
首席技术官兼联合创始人门将克雷格•Lu万博体育登录首页rey安全,认为知名黑客应该作为一个警钟,各种规模的企业建立zero-trust基础设施,使MFA,需要强有力的和独特的密码。
此外,除了身份的首席技术官,杰森凯西,声称人们无法有足够的安全,如果万博体育登录首页他们仍然利用密码。
尽管贝宝似乎尽其能影响用户提出改变密码,凯西认为密码本身是破碎的,然而它们独特的或复杂的。凯西认为企业应该切换到狗联盟标准的证书对钓鱼攻击免疫。
的挑战,正如凯西所说,“有多少基于证书的攻击要花在我们看到真正的改变吗?”
