Intrusion chez PayPal: numéros d’assurances sociales compromis
Près de 35 000 comptes PayPal ont été compromis et les victimes sont à risque d’être victime de vols d’identité. Des pirates informatiques sont parvenus à obtenir plusieurs données personnelles, dont des numéros d’assurances sociales. PayPal avise les utilisateurs touchés par courriel et offre des mesures de protection.
Lorsqu’on est un des plus gros services de paiement en ligne au monde, les risques que l’on soit attaqué par des pirates informatiques sont grands.
Quand bien même toutes les mesures de sécurité que peut mettre en place PayPal, il reste qu’il y a un maillon faible dans sa chaîne de défense et j’ai nommé: ses utilisateurs!
PayPal ne peut en effet rien faire pour nous aider si l'on décide d’utiliser un mot de passe faible et qu’on n’active pas la double authentification.
C’est ce qu’apprennent à la dure près de 35 000 utilisateurs de PayPal…
Risques de vol d’identité
Spécialisé en cybersécurité, le site web BleepingComputer nous apprend que près de 35 000 utilisateurs de PayPal reçoivent un courriel de l’entreprise pour les aviser que leur compte est compromis.
On peut ainsi lire dans le courriel de PayPal:
Le 20 décembre 2022, nous avons confirmé que des parties non autorisées ont pu accéder à votre compte client PayPal en utilisant vos identifiants de connexion. Nous ne disposons d'aucune information suggérant qu'une de vos informations personnelles a été utilisée à mauvais escient à la suite de cet incident, ou qu'il y ait des transactions non autorisées sur votre compte. Il n'y a pas non plus de preuve que vos identifiants de connexion ont été obtenus à partir d'un quelconque système PayPal.
Sur la base de l'enquête menée par PayPal à ce jour, nous pensons que cette activité non autorisée a eu lieu entre le 6 décembre 2022 et le 8 décembre 2022, lorsque nous avons éliminé l'accès pour les tiers non autorisés.
Pendant cette période, les tiers non autorisés ont pu consulter, et potentiellement acquérir, certaines informations personnelles de certains utilisateurs PayPal.
Les données en question sont:
- Nom
- Prénom
- Adresse
- Dates de naissance
- Numéros d’assurances sociales
- Numéros d'identification fiscale individuels
Bref, un beau cocktail d’informations pour être victime d’un vol d’identité!
Comment les comptes PayPal ont été compromis
L’intrusion de ces milliers de comptes PayPal par des pirates informatiques aurait été rendue possible grâce à la technique du ''Credential Stuffing'' ou en français: le bourrage d’identifiant.
C’est la même technique qui a été utilisée pour pirater des milliers de comptes Norton.
Les pirates informatiques vont essentiellement se procurer, sur le dark web, des listes de courriels et de mots de passe provenant de d’autres fuites de données.
Ils exploitent ensuite un robot pour tester tous ces courriels et mots de passe sur des services populaires tels que… PayPal.
On revient ainsi à notre point initial. Si l'on utilise un mot de passe faible ou qu’on réutilise le même mot de passe pour un ou plusieurs autres services, on se met à risque de voir nos autres comptes être compromis.
C’est vraisemblablement ce qui est arrivé dans ce cas-ci, alors que les utilisateurs touchés ont commis l’erreur de négliger la sécurité de leur mot de passe sur PayPal.
Quoi faire pour se protéger?
PayPal explique dans son courriel qu’il a réinitialisé les mots de passe des utilisateurs touchés. Ainsi, lorsqu’on va se connecter à son compte, PayPal va nous inviter à modifier notre mot de passe.
Pas besoin de dire que l’on a intérêt à utiliser un mot de passe fort! L’utilisation d’un gestionnaire de mots de passe pour en générer des puissants tout en n’ayant pas à nous en rappeler est par ailleurs une excellente forme de protection.
Tout comme l’activation de l’authentification à double facteur! Via les paramètres de son compte PayPal, il est possible d’activer cette fonctionnalité qui fait en sorte qu’après avoir entré notre mot de passe on doit entrer un second code que l’on peut recevoir par texto ou générer via une application de 2FA.
Cette fonctionnalité permet ainsi de mettre une solide barrière au pirate qui aurait réussi à mettre la main sur notre mot de passe.
Enfin, PayPal explique également qu’il offre la surveillance Equifax pendant deux ans et explique dans son courriel comment se créer un compte gratuitement.
