Il colosso mondiale PayPal ha annunciato che attraverso il credential stuffing è stato ottenuto l'accesso a quasi 35.000 conti. L'attacco sui conti PayPal sarebbe avvenuto tra il 6 e l'8 Dicembre 2022.
E' comunque importante sottolineare che, secondo PayPal, gli account sarebbero stati hackerati grazie a questo attacco e non per la compromissione dei sistemi dell'azienda.

In cosa consiste il credential-stuffing.

Conosciuto anche come riutilizzo delle password, si tratta di un attacco tanto banale quanto efficace in cui gli aggressori tentano di ottenere l'accesso agli account testando le credenziali che sono state pubblicate nelle underground in seguito a precedenti data-breach. Proteggersi è indispensabile, anche perché il fenomeno potrebbe essere molto più ampio.

I criminali informatici hanno così ottenuto l'accesso alle anagrafiche di 34.942 utenti, per l'esattezza, riutilizzando semplicemente password grazie ad un approccio automatizzato che esegue bot ai quali dare in pasto folti elenchi di credenziali e qualche ciclo iterativo per popolare i campi di login del portale di accesso al servizio. Tradotto in soldoni: 30 righe di codice o poco più.
Cosa significa in breve? Significa che gli utenti hanno utilizzato la medesima password in altri servizi precedentemente violati, e le informazioni esfiltrate, prima pubblicate nelle underground, sono state poi "riutilizzate" a danno delle vittime.
L'attacco sembra essersi limitato agli Stati Uniti, poiché i dati espongono i numeri di previdenza sociale. Tuttavia, non è ancora noto se altri paesi sono o saranno successivamente coinvolti.
Secondo alcune indiscrezioni in merito all'entità dell'attacco oltre 1.350.000 dati utente PayPal sono a disposizione dei gruppi criminali e se ne aggiungono di nuovi ogni giorno.

Come proteggersi dal credential stuffing.

Le buone pratiche di sicurezza informatica impongono di non riutilizzare mai le password per accedere a più servizi. I dati di accesso devono essere univoci per ogni servizio in modo che in caso di violazione dei dati, la combinazione di nome utente e password non comporti rischi di esposizione per gli altri servizi. Ma non solo.
Usare password complesse non condivise, come già detto, e abilitare l'autenticazione a due fattori per proteggersi da questi attacchi è indispensabile.
Ricordiamo che una discreta password dovrebbe contenere caratteri alfanumerici maiuscoli e minuscoli, caratteri speciali e dovrebbe essere formata da almeno 12 caratteri.
Sorprende inoltre come un servizio come PayPal, ma non è l'unico purtroppo, non utilizzi di default l'autenticazione MFA (Multi Factor Authentication), un metodo ormai necessario per tutti i servizi che coinvolgono dati sensibili. Oltre all'avviso tempestivo inviato in caso di rilevamento di qualsiasi attività insolita, ad esempio accesso da dispositivi untrusted o da posizioni sconosciute, sarebbe inoltre opportuno che l'account di default rimanesse sospeso finché l'utente legittimo non interviene.
Meglio un deterioramento della user-experience che un account fuori controllo.