Vụ tấn công vào PayPal làm lộ tên khách hàng, số an sinh xã hội
Theo một thông báo được đăng trên trang web của chính phủ, khoảng 35,000 tài khoản của người dùng PayPal đã bị tấn công bằng cách “nhồi thông tin xác thực” (“credential stuffing”), dẫn đến tên và số An sinh Xã hội bị lộ.
Thông qua các luật sư của mình, công ty xử lý thanh toán có trụ sở tại California này đã gửi thông báo tới tổng chưởng lý của Maine. Công ty này cũng đã gửi một lá thư đề ngày 19/01 về việc vi phạm dữ liệu tới những người dùng bị ảnh hưởng.
Bức thư đó nói rằng các tài khoản đã bị xâm phạm vào khoảng thời gian từ ngày 06/12 đến ngày 08/12/2022. Theo bức thư, công ty cho biết họ đã có thể ứng phó với cuộc tấn công ngay sau khi nó xảy ra.
Thông báo gửi đến người dùng cho biết (pdf) rằng 34,942 người dùng đã bị ảnh hưởng bởi vụ việc này và các bên thứ ba trái phép đã có được quyền truy cập vào tài khoản của họ. Các bên thứ ba chưa xác định đó có thể đã xem tên đầy đủ, ngày sinh, số An sinh Xã hội, địa chỉ, và mã số thuế.
“Chúng tôi không có thông tin nào cho thấy rằng bất kỳ thông tin cá nhân nào của quý vị đã bị lạm dụng do biến cố này, hoặc có bất kỳ giao dịch trái phép nào đã xảy ra trên tài khoản của quý vị,” thư của PayPal cho biết.
Cụ thể, tin tặc đã sử dụng một cuộc tấn công bằng cách “nhồi thông tin xác thực”, liên quan đến việc tự động điền thông tin đăng nhập đã được tìm thấy trong các lần xâm phạm dữ liệu trước đó (để truy cập vào tài khoản PayPal).
“Nếu quý vị phát hiện bất kỳ hoạt động đáng ngờ nào trên tài khoản, hãy thay đổi mật khẩu và câu hỏi bảo mật ngay lập tức, đồng thời thông báo kịp thời cho công ty nơi tài khoản được duy trì,” PayPal cho biết. “Quý vị cũng có thể thêm bảo mật bổ sung cho tài khoản PayPal của mình bằng cách bật ‘xác minh 2 bước’ trong phần Cài đặt Tài khoản của mình. Khi trong một thư điện tử có các liên kết, các cá nhân nên di chuột nhấp vào liên kết để xem xét địa chỉ URL đích thực sự và không nên nhấp vào liên kết nếu không chắc chắn về URL đích hoặc trang web đó.”
Hơn nữa, công ty cho biết họ đã đặt lại mật khẩu cho các tài khoản PayPal bị ảnh hưởng. Những người dùng bị ảnh hưởng cũng sẽ nhận được các dịch vụ giám sát danh tính miễn phí từ Equifax, công ty báo cáo tín dụng tiêu dùng.
Trong một tuyên bố với PCMag, công ty khẳng định rằng chỉ một “lượng nhỏ tài khoản khách hàng của PayPal” bị ảnh hưởng bởi vụ xâm phạm này. The Epoch Times đã liên lạc với PayPal để đề nghị bình luận. Paypal lưu ý rằng cả trang web và hệ thống của công ty đều không bị tấn công.
“Hệ thống thanh toán của PayPal không bị ảnh hưởng và không có thông tin tài chính nào bị truy cập,” công ty cho biết. “Chúng tôi đã liên hệ trực tiếp với những khách hàng bị ảnh hưởng để cung cấp hướng dẫn về vấn đề này nhằm giúp họ bảo vệ thông tin của mình hơn nữa. Tính bảo mật và quyền riêng tư đối với thông tin tài khoản của khách hàng [vẫn] là ưu tiên hàng đầu của PayPal và chúng tôi thành thật xin lỗi vì bất kỳ bất tiện nào mà sự kiện này có thể đã gây ra.”
Các thông tin chi tiết khác
Ông Sam Curry, giám đốc an ninh tại Cybereason, nói với tạp chí Forbes rằng điều đã xảy ra là các vụ tấn công trước đó “dẫn đến mật khẩu của một lượng lớn dân số đang sử dụng ở nơi khác bị đánh cắp, và bởi vì mọi người thường sử dụng lại mật khẩu và vẫn làm như vậy trong một thời gian dài.” Giải thích kỹ hơn, ông nói rằng “các tin tặc đã có thể tấn công ‘kiểu brute force’ (thử đăng nhập vào một tài khoản với tất cả các kết hợp mật khẩu có thể) đối với các tài khoản PayPal bằng những thông tin này cho đến khi họ tìm thấy 35,000 kết quả phù hợp.”
“Nếu một tác nhân đe dọa có thể truy cập các thông tin đăng nhập hợp pháp — kể cả khi chúng được đưa vào kho lưu trữ trên dark web — thì chúng chỉ là một ít thông tin ngắn, và trong hầu hết các trường hợp, các bước tự động sẽ giúp quý vị thoát khỏi sự xâm nhập thành công,” ông Jasson Casey, giám đốc công nghệ tại Beyond Identity, nói với HackRead.
Vụ xâm phạm bảo mật này xảy ra chỉ vài ngày sau khi T-Mobile xác nhận một kẻ xâm nhập độc hại không xác định đã xâm phạm mạng của họ hồi cuối tháng 11/2022 và đánh cắp dữ liệu của 37 triệu khách hàng, theo một hồ sơ quy định gửi lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ.
T-Mobile cho biết vụ xâm phạm dữ liệu được phát hiện vào ngày 05/01, đồng thời cho biết thêm rằng dữ liệu bị đánh cắp không bao gồm thông tin quan trọng như mã PIN, số tài khoản ngân hàng, thông tin thẻ tín dụng, số An sinh Xã hội, hoặc số nhận dạng của chính phủ. Thay vào đó, địa chỉ, số điện thoại, và ngày sinh đã bị truy cập, hồ sơ cho biết.
Trọng Khiêm biên dịch
Quý vị tham khảo bản gốc từ The Epoch Times
