Konta 34 942 użytkowników PayPal zostały zhakowane między 2 a 6 grudnia 2022 roku przez nieuprawnione osoby poprzez atak typu credential stuffing. Hakerzy potencjalnie uzyskali dostęp do danych osobowych klientów, w tym ich imienia i nazwiska, adresu, daty urodzenia, numeru identyfikacji podatkowej i numeru ubezpieczenia społecznego.
Ataki typu credential stuffing mają miejsce, gdy hakerzy próbują różnych nazw użytkownika konta i par haseł, które wyciekły z różnych stron internetowych. PayPal wezwał więc klientów do unikania „recyklingu” haseł i aktywowania dwuskładnikowego uwierzytelniania na swoich kontach.
Incydent bezpieczeństwa został przedstawiony w zawiadomieniu przez PayPal 18 stycznia, a także w zawiadomieniu o naruszeniu danych w prokuraturze generalnej stanu Maine. Problemem jest dotkniętych prawie 35 000 osób.
Firma wysłała powiadomienie do wszystkich dotkniętych użytkowników stwierdzając, że „nie ma informacji sugerujących, że jakiekolwiek Twoje dane osobowe zostały niewłaściwie wykorzystane w wyniku tego incydentu, lub że na Twoim koncie znajdują się jakiekolwiek nieautoryzowane transakcje” oraz że napastnicy nie mieli dostępu do kont w dniu 8 grudnia.
PayPal zapewnił ofiarom naruszenia danych bezpłatny dostęp do usług monitorowania tożsamości Equifax przez dwa lata.
W 2022 roku PayPal zachęcał użytkowników Apple do zamiany haseł na klucze, twierdząc, że klucze są zarówno bezpieczniejsze, jak i łatwiejsze w użyciu dla klientów.
