Bleeping Computerは1月19日(米国時間)、「PayPal accounts breached in large-scale credential stuffing attack」において、PayPalが大規模なクレデンシャルスタッフィング攻撃を受けていたと伝えた。このサイバー攻撃は2022年12月6日から2022年12月8日にかけて行われたものとされており、約3万5000件のアカウントが漏えいしたことが明らかとなった。
PayPalはサイバー攻撃を受けた時点で攻撃を検知して緩和策を実施するとともに、ハッカーがアカウントへのアクセスを取得した方法について内部調査を実施したことを報告。2022年12月20日までに調査が完了し、無許可の第三者が有効な認証情報を使ってアカウントにログインしていたことが明らかになったと報告している。
3万4,942人のPayPalユーザーが影響を受け、侵害された期間中、脅威者がアカウント所有者のフルネームや生年月日、郵便住所、社会保障番号、個人の納税者番号といった個人情報にアクセス可能だったとされている。取引履歴、接続されたクレジットカードまたはデビットカードの詳細、請求書作成データにもアクセス可能だったことも伝えられている。
同社は侵入者のプラットフォームへのアクセスを制限し、侵入が確認されたアカウントのパスワードをリセットする措置を適時に講じたと述べている。また、侵入されたPayPalアカウントからいかなる取引も試みられていないと報告している。
アカウント侵害の通知を受け取ったPayPalユーザーはパスワードのリセットが行われているため、速やかにパスワードの再設定を行う必要がある。二要素認証(2FA: Two-Factor Authentication)を有効にし、不正な取引がなかった取引履歴を確認しておくことが望まれている。