Dopo quanto accaduto al password manager di Norton sono emersi nuovi problemi di sicurezza che coinvolgono altri servizi molto utilizzati dagli utenti, come il celebre circuito di pagamenti online PayPal, e il sistema di email marketing Mailchimp.
Secondo quando rende noto la stessa PayPal, tra il 6 e l’8 Dicembre del 2022, circa 34.942 dei suoi utenti hanno subito l’accesso ai loro account da parte di persone non autorizzate, nell’ambito di un attacco di credential stuffing: in pratica, utilizzando dati tratti da fughe di dati di altri siti web, quasi sempre comprati nel dark web, gli hacker tramite dei sistemi automatizzati hanno provato combinazioni di nomi utenti e password su vari servizi, contando sul fatto che in molti riciclano la stessa password su più siti web. Ciò ha portato, come si diceva all’accesso agli account di 34.942 utilizzatori di PayPal a causa dell’uso, come emerge da un’indagine interna del servizio, di “credenziali valide” che, però, non sarebbero state ottenute (o comunque non vi sono prove in tal senso) da una violazione dei sistemi della piattaforma.
A seguito di quest’accesso non autorizzato, gli hacker protagonisti dall’attacco hanno potuto visualizzare informazioni dell’utente come i nomi completi, gli indirizzi postali, i numero di previdenza sociale e di identificazione fiscale, le date di nascita, ma non solo. I criminali informatici hanno potuto visionare anche l’elenco delle transazioni, i dati di fatturazione, e i dettagli della carta di debito o credito associati all’account su PayPal.
PayPal tranquillizza i suoi utenti sul fatto che non sia stata eseguita alcuna transazione dagli account violati e che ha tempestivamente limitato l’accesso agli intrusi.
Ovviamente gli utenti coinvolti sono stati avvertiti e invitati a modificare la password, scegliendone di lunghe (almeno 12 caratteri con simboli e caratteri alfanumerici), e impostando – dall’Impostazioni account – l’autenticazione a due fattori che mette al sicuro anche nel caso qualcuno venga in possesso del nostro username e password validi. Sempre in favore degli utenti coinvolti, Paypal, che ha anche invitato a “modificare le password per altri account online utilizzando una stringa univoca e lunga“, ha offerto “un servizio gratuito di monitoraggio dell’identità per due anni da Equifax“.
Per Mailchimp, il noto servizio di email marketing, si tratta della seconda violazione subita in 6 mesi, con quella di Agosto che costò il posto al chief information security officer Siobhan Smyth. Secondo l’azienda, l’11 Gennaio scorso un intruso, usando password carpite ai suoi dipendenti tramite tecniche di ingegneria sociale, ha effettuato l’accesso agli account di 133 suoi clienti, tra cui il gigante dell’e-commerce WooCommerce che usa Mailchimp per mantenere i contatti con i propri clienti. Ciò ha portato all’esposizione dei dati dei clienti di WooCommerce, tra cui nomi, indirizzi Web e indirizzi e-mail, anche se non sarebbero stati carpiti altri dati sensibili, come le password.
Nella sua comunicazione ai diretti interessati, Mailchimp ha rivelato di aver messo in atto “una serie aggiuntiva di misure di sicurezza avanzate” sebbene, a una richiesta di TechCrunch, la piattaforma non abbia dettagliato la natura di tali provvedimenti.