Bár a hackerek szerint friss adatokról van szó, a PayPal tagadja, hogy adatvédelmi incidensről lenne szó.
Volt lopás vagy nem volt?
A PayPal elleni kibertámadás után megjelent egy hitelesítő-adatszivárgást hirdető bejegyzés egy jól ismert fórumon, amelyet lopott adatok közzétételére és értékesítésére használnak – számolt be az esetről a Cybernews.
A hirdetés szerzője azt állítja, hogy a csomagban több millió PayPal-hitelesítő adat található e-mailekkel és jelszavakkal.
A PayPalnél ugyanakkor azt állítják, nem történt adatvédelmi incidens. Véleményük szerint a most megjelent poszt egy korábbi esetre utal.
“Nem történt adatvédelmi incidens – az állomány egy 2022-es esethez kapcsolódik, nem új” – írta a PayPal a Cybernewsnak.
Mit tudunk eddig?
A PayPal 2022-ben egy nagyszabású “credential stuffing” támadást szenvedett el, amely 35 ezer fiókot érintett.
Ez év elején a vállalat kétmillió dollárt fizetett az amerikai szabályozó hatóságoknak, miután megállapították, hogy a cég megsértette New York kiberbiztonsági előírásait.
A hackerek eközben azt állítják, hogy az adatokat idén májusban szerezték meg.
Az állítólag ellopott információk a következő érzékeny adatokat tartalmazzák:
- bejelentkezési e-mailek
- egyszerű szöveges jelszavak
- kapcsolódó URL-ek
Kisebb lehet a hasznos rész
A támadók szerint a csomagban szereplő, PayPal-fiókból származó adatot globálisan gyűjtötték. Ha ez igaz, a kiszivárogtatás komoly kockázatot jelenthet a felhasználók számára.
A bejelentkezési adatok felfedése önmagában is súlyos veszély, hiszen ezek szükségesek a PayPal-fiókokhoz való hozzáféréshez.
Bár a felhasználók gyakran alkalmaznak többfaktoros hitelesítést, a belépési adatok ismerete megszünteti az első védelmi vonalat.
A támadók azt is állítják, hogy a kiszivárgott csomag tartalmazza a kapcsolódó URL-eket is, amelyek közvetlenül mutatnak a kiszivárgott adatokhoz kötődő szolgáltatásokra.
Az általuk közzétett minták alapján az adatstruktúra lehetővé teszi az automatizált credential stuffing támadásokat.
Bár sok jelszó „erősnek” tűnik, a hackerek szerint sok közülük újrahasznált, így az adatok ténylegesen hasznos része jóval kisebb lehet, mint amit a poszt szerzője sugall.
Megkérdőjelezhető minőségű csomag
A Cybernews szakértői megvizsgálták a támadók állításait, de nem tudták hitelesíteni azokat. A közzétett minták ugyanis túl kicsik voltak ahhoz, hogy érdemi következtetéseket lehessen levonni.
A kiberkutatók hozzátették, ha valóban májusban történt az adatszerzés, ahogy a poszt szerzői állítják, a hasznos adatok többségét addigra már valószínűleg kihasználták.
Érdekesség, hogy az állítólag hatalmas adathalmazt olyan áron árulják, ami nem tükrözi a hackerek állításainak súlyát – ez arra utalhat, hogy a csomag valódi minősége megkérdőjelezhető.
A PayPal eddig soha nem szenvedett el nagyszabású adatszivárgást, ami arra utalhat, hogy a támadók más módon szerezték az adatokat. Egy lehetséges magyarázat az úgynevezett infostealer (adatlopó) kártevők használata.
Mik az infostealerek?
Az infostealerek olyan rosszindulatú programok, amelyek észrevétlenül jutnak be a felhasználók eszközeire, és a háttérben begyűjtik az érzékeny adatokat.
Ezek a programok nem zárolják a képernyőt, nem lassítják le a rendszert. “Mindössze” csendben lopják a mentett jelszavakat, az űrlapok kitöltése során az adatokat. Emellett rögzítenek böngészősütiket, bankkártyaszámokat, sőt kriptotárcákhoz való hozzáférést is.
Az adatlopók általában gyanús linkekre kattintással, hamis programok letöltésével vagy rosszindulatú e-mail-mellékletekkel kerülnek a gépre.
Az infostealerek gyorsan dolgoznak: az adatok pillanatok alatt eljutnak a támadókhoz, sokszor úgy, hogy a felhasználó észre sem veszi. Létezik olyan kártevő is, amely a támadás után törli is önmagát az eszközről.
Külön aggasztó, hogy ezek a programok könnyen elérhetők a dark weben – bárki megvásárolhatja vagy kibérelheti őket technikai tudás nélkül.
Olyan eszközök, mint a RedLine, Raccoon vagy a Vidar, számos nagy adatszivárgásnál játszottak szerepet az elmúlt években, köztük a 2024–2025-ös Snowflake-botrányban is.
Ráadásul már nem csak a Windows-felhasználók veszélyeztetettek – egyes kártevők kifejezetten macOS és Android rendszerekre is készülnek.
A potenciálisan érintett felhasználóknak javasolt megbízható jelszókezelőt használni, valamint azonnal megváltoztatni PayPal-jelszavukat.
(Kép: Unsplash/Mariola Grobelska)
