PayPalでサイバー攻撃が発生し約3万5000人分の個人情報が流出していたことが判明

オンライン決済サービスを提供する「PayPal」が12月に受けたサイバー攻撃の結果、約3万5000人のユーザーの個人情報が流出したことを2023年1月18日に発表しました。PayPalは個人情報を悪用した不正な取引の形跡は見つからなかったことをユーザーに通知しています。

paypal breach notification
(PDFファイル)https://regmedia.co.uk/2023/01/19/paypal_breach_notification.pdf

PayPal accounts breached in large-scale credential stuffing attack
https://www.bleepingcomputer.com/news/security/paypal-accounts-breached-in-large-scale-credential-stuffing-attack/

PayPal says crooks accessed 34,942 customers' info • The Register
https://www.theregister.com/2023/01/19/paypal_data_breach/

PayPalでは2022年12月6日から12月8日に、パスワードの使い回しによって漏えいしたユーザー名やパスワードを総当たり的に検証することでアカウントにアクセスする「クレデンシャルスタッフィング攻撃」が発生しました。

PayPalによると、ハッカーは3万4942人のユーザーの氏名や生年月日、住所、社会保障番号、個人の納税者番号にアクセス可能であったことを2022年12月20日までの調査で確認しています。

PayPalは個人情報が流出したとされる約3万5000人のユーザーに(PDFファイル)通知書を送信し、「この事件の結果としてあなたの個人情報が悪用されたこと、またはあなたのアカウントに不正な取引があったことを示す情報はありません。また、ログイン資格情報がPayPalシステムから取得されたという証拠もありません」と報告しています。

PayPalはハッカーのプラットフォームへのアクセスを制限し、個人情報が流出したアカウントのパスワードをリセットする措置を行ったとのこと。

個人情報が流出したユーザーは、アメリカの大手消費者信用情報企業であるEquifaxが提供する、IDを監視して顧客データの保護を行うサービスが2年間無償で受けられます。

また、PayPalはパスワードの使い回しによるクレデンシャルスタッフィング攻撃を防止するために英数字と記号を含んだ12文字以上の強固なパスワードを設定するとともに、アカウントの2要素認証をアクティブにすることをユーザーに対して強く推奨しています。