Datalek PayPal, geen schade voor gebruikers
Een datalek trof 35.0000 gebruikers van betaaldienst PayPal. De dienst heeft de wachtwoorden van getroffen gebruikers opnieuw ingesteld.
Credential stuffing
PayPal ontdekte het lek eind december 2022. Het gaat om 'credential stuffing'. Dat betekent dat criminelen gebruikersnamen en wachtwoorden van andere diensten hebben gestolen. Met deze gegevens proberen ze bij weer andere diensten in te loggen. In dit geval PayPal. Omdat sommige mensen wachtwoorden hergebruiken, lukt dat in een aantal gevallen. PayPal beveiligt z'n gegevens goed, dus de aanval is direct als verdachte activiteit opgemerkt. Gebruikers hebben geen financiële schade opgelopen. Heb u een account bij PayPal en geen bericht gehad over de aanval, dan hoort u niet bij de getroffenen.
Unieke wachtwoorden en tweestapsverificatie
Ook voor niet-getroffenen vallen er lessen uit het voorval te trekken:
- Gebruik altijd unieke wachtwoorden. Zeker bij gevoelige diensten zoals PayPal.
- Stel tweestapsverificatie in bij diensten die dat aanbieden. Stelen criminelen accountgegevens, dan is inloggen nog steeds niet mogelijk.