3.5萬PayPal用戶帳號遭憑證填充攻擊

電子支付平臺PayPal本周通知用戶，12月初有駭客發動憑證填充（credential stuffing）攻擊存取用戶帳號，受影響人數約為3.5萬。

根據PayPal本周通報美國緬因州檢察長辦公室的文件，他們於12月20日發現到攻擊事件，經過調查，判斷事件發生於12月6日到8日之間。這是一樁憑證填充事件，即攻擊者從別處竊取、購得或取得過去外流的用戶帳號、密碼等個資，再以大量帳號及密碼組合，用於PayPal帳號的暴力破解。受影響用戶總數為34942人。

PayPal告知用戶，這樁攻擊導致其個資可能已外洩，包括姓名、住家地址、社會安全碼、個人稅籍資料、電話及生日。該公司說，沒有發現任何用戶個資被誤用，或是被用於非授權交易的情形。PayPal說，在發現攻擊時，已經將用戶個資加上遮罩而不再曝險、將用戶密碼重設、並加上進階安全控制以切斷非法存取管道。

該公司並提供受影響用戶24個月的信用盜用監控服務。本次事件並非PayPal系統漏洞，而是用戶重覆在不同服務或網站使用同一組帳號、密碼組合的結果。論及漏洞，去年5月一名研究人員發現PayPal平臺有個點擊劫持（clickjacking）漏洞，可能讓攻擊者竊取用戶帳戶中的財物。