Paypal va emetre un comunicat oficial el passat 18 de gener en el qual alertava que entre el 6 i el 8 de desembre una sèrie de tercers no autoritzats van accedir als comptes de 34.942 clients i que van utilitzar les seves credencials per a iniciar sessió i emprendre un feroç ciberatac.

Entre les dades robades, s’inclourien els seus noms, identificació fiscal, direccions, número de Seguretat Social i dates de naixement, entre altres informacions de caràcter confidencial. Però el més alarmant és l’accés als historials de transaccions, detalls de les targetes de crèdit o dèbit connectades i a les dades de facturació de Paypal. Per fortuna, els atacants no van aconseguir efectuar transferències econòmiques.

Tot fa indicar que els hackers haurien emprat una tècnica molt rudimentària per a efectuar la seva pràctica maliciosa, perquè haurien emplenat la pàgina d’inici de sessió amb infinitat de credencials robades fins que finalment una funcionés. Les persones damnificades són aquelles que fan servir les mateixes contrasenyes en diferents serveis, posant-les en un risc constant.

Per provar milers de comptes es valen de l’ajuda de bots que fan el treball d’executar llistes de credencials robades i filtrades d’altres pàgines web o fòrums. Automàticament van provant fins que coincideix la contrasenya i poden accedir.

Ara, l’estratègia de Paypal consisteix a restablir les contrasenyes dels usuaris afectats i a oferir-los controls de seguretat millorats, de tal manera que ara estarà en mans dels clients el fet de configurar un nou compte en el seu pròxim inici de sessió. També es demana als clients que estableixin un sistema d’autenticació en dos passos.