Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Личные данные 35 тысяч пользователей PayPal были похищены

23/01/23

Paypal

PayPal массово рассылает уведомления об утечке данных. По результатам хакерской атаки личные данные множества пользователей попали в руки злоумышленников.

PayPal заявляет, что атака произошла в период с 6 по 8 декабря 2022 года, передает Securitylab. Компания быстро обнаружила её и приняла соответствующие меры, но также начала внутреннее расследование, чтобы выяснить, как хакеры получили доступ к учетным записям.

20 декабря PayPal завершила расследование и подтвердила, что неавторизованные третьи лица действительно входили в скомпрометированные учетные записи, но случилось это совсем не из-за уязвимости платформы PayPal.

Ответственная за взлом группировка применила метод «credential stuffing», при котором специальное программное обеспечение просто перебирает комбинации учётных данных, полученных злоумышленниками в ходе предыдущих утечек. Иначе говоря, логины/пароли могли слить совсем из другого сервиса и очень давно, но успешно применить их для авторизации в учётные записи PayPal. Похитить личную информацию удалось только с тех аккаунтов, которые не были защищены двухфакторной аутентификацией.

Согласно отчёту компании, инцидент затронул около 35 тысяч пользователей. В течение двух дней хакеры имели доступ к следующим данным пользователей сервиса: ФИО, дата рождения, почтовый адрес, номер социального страхования, индивидуальный идентификационный номер налогоплательщика, история транзакций, данные подключенных карт и данные выставления счетов PayPal.

Компания заявляет, что предприняла своевременные действия, чтобы ограничить доступ злоумышленников к платформе и сбросить пароли учетных записей, которые были взломаны. Также в сообщении компании утверждается, что злоумышленники не пытались или не смогли провести какие-либо транзакции со взломанных учетных записей PayPal.

«У нас нет информации, позволяющей предположить, что какие-либо ваши личные данные были использованы не по назначению в результате этого инцидента, или что в вашей учетной записи были проведены какие-либо несанкционированные транзакции», — сообщается в сообщении PayPal пострадавшим пользователям.

«Мы сбросили пароли уязвимых учетных записей PayPal и внедрили расширенные средства контроля безопасности, которые потребуют от вас установки нового пароля при следующем входе в свою учетную запись», — предупредила компания.

PayPal также настоятельно рекомендовала пользователям, получившим уведомление о взломе, активировать двухфакторную аутентификацию (2FA) в меню «Настройки учетной записи». Это может предотвратить доступ злоумышленников, даже если они обладают всеми данными для входа в аккаунт. Ещё компания порекомендовала изменить пароли и от других онлайн-аккаунтов, чтобы ситуация не повторилась с ними.

Темы:Персональные данныеПреступленияпаролиPaypal
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.
    С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.
  • Может ли крупный бизнес защитить ПДн для МСП?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Заместитель главы Роскомнадзора предложил [1] крупным компаниям предоставить свои ресурсы для обработки и защиты персональных данных у малого бизнеса. Инициативу эксперт обосновал тем, что МСП часто не уделяют достаточного внимания информационной безопасности и взаимодействию с регулятором. По его мнению, крупному бизнесу хватит ресурсов, чтобы хранить и защищать данные других предприятий. Давайте разберемся, насколько актуально предложение регулятора и какая реальная помощь в защите от утечек доступна малому и среднему бизнесу.
  • Защита персональных данных с нуля до гигиенического минимума
    С конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не занимался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультировать и писать обучающие статьи.
  • Виртуальные офисы для реальной безопасности
    Игорь Вербицкий, директор по информационной безопасности Яндекс 360
    Главное отличие виртуального офиса от набора отдельных сервисов – в управляемости: администратор видит, кто и как работает с данными, может настроить права доступа, обеспечить резервное копирование и защиту.
  • Лишь 10% корпоративных систем поддерживают современную аутентификацию
    Последнее время стало модным говорить о беспарольном будущем. Отчеты, аналитика, блоги и форумы пестрят рассуждениями о том, как классические пароли уходят в прошлое, а на их смену приходят более удобные и безопасные способы входа в систему. Однако реальность, как это часто бывает, оказывается менее однозначной.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...