Ein Hacker bereitet gerade seinen Credential Stuffing-Angriff auf PayPal vor (Symbolbild)
Ein Hacker bereitet gerade seinen Credential Stuffing-Angriff auf PayPal vor (Symbolbild)
Bildquelle: stokkete, Lizenz

Credential Stuffing-Angriff auf PayPal: Fast 35.000 Konten infiltriert

Betroffene Anwender sollten ihre Passwort-Strategie überdenken. Sonst werden Datenlecks dank Credential Stuffing schnell zum Verhängnis.

Der beliebte Zahlungsdienstleister PayPal hat Tausende von Benutzern über unbefugte Zugriffe auf ihre Accounts benachrichtigt. Durch sogenanntes „Credential Stuffing“ (Erläuterung vom BSI) konnten sich Angreifer Zugang zu fremden Benutzerkonten einschließlich der darin gespeicherten persönlichen Daten verschaffen. Ein guter Zeitpunkt, um die eigene Passwort-Strategie zu überdenken.

Datenlecks versorgen Cyberkriminelle mit unzähligen Passwörtern

Bei Credential Stuffing handelt es sich um eine Angriffsmethode, bei der Cyberkriminelle versuchen, fremde Konten zu übernehmen, indem sie aus Datenlecks stammende Zugangsdaten nutzen, um sich bei verschiedenen Online-Diensten anzumelden.

Um den Vorgang zu beschleunigen, kommen oftmals Bots zum Einsatz, die ganze Listen von Anmeldeinformationen automatisiert in Login-Formulare zahlreicher Webseiten eingeben.

Viele Anwender verwenden für mehrere Konten identische Kombinationen bestehend aus ihrem Benutzernamen und Passwort. Daher kann beispielsweise ein Leak von Twitter-Daten Angreifern mitunter Zugriff auf Benutzerkonten von Zahlungsdienstleistern verschaffen.

Per Credential Stuffing konnten Angreifer persönliche Daten abgreifen

Wie BleepingComputer berichtet, fand zwischen dem 6. und 8. Dezember 2022 ein solcher Credential-Stuffing-Angriff auf PayPal statt. Nach internen Untersuchungen habe das Unternehmen bestätigt, dass sich unbefugte Personen mit gültigen Zugangsdaten bei insgesamt 34.942 Benutzerkonten anmelden konnten.

Infolgedessen hatten die Angreifer umfassenden Zugriff auf die Daten der Kontoinhaber. Darunter vollständige Namen, Geburtsdaten, Postadressen, Sozialversicherungsnummern, Steuernummern, vergangene Transaktionen, Details über verknüpfte Bankkonten und Kreditkarten sowie PayPal-Rechnungsdaten.

Eine Kompromittierung seiner eigenen Systeme konnte der Zahlungsdienstleister indes nicht feststellen. Daher mussten die Zugangsdaten aus einer anderen Quelle stammen.

Schutz vor Credential Stuffing: Zeit für neue Passwörter

PayPal versichert in seiner Mitteilung an die betroffenen Benutzer, es gebe bisher keine Hinweise darauf, dass die „persönlichen Daten als Folge dieses Vorfalls missbraucht wurden oder dass irgendwelche nicht autorisierten Transaktionen“ über die Konten der Anwender erfolgten.

passwords are like pants
Besser oft wechseln! Richard Parmiter(CC BY-NC-ND 2.0).

Dennoch habe das Unternehmen Maßnahmen ergriffen, um den Zugriff der Angreifer zu beschränken. Dafür habe PayPaldie Passwörter der betroffenen PayPal-Konten zurückgesetzt und verstärkte Sicherheitskontrollen implementiert„.

Opfer des Credential-Stuffing-Angriffs müssen daher bei ihrer nächsten Anmeldung ein neues Passwort vergeben.

Generell zeigt dieser Angriff, wie wichtig es ist, nicht nur sichere Passwörter zu verwenden. Ebenso sollten Anwender für jede Registrierung einmalige Zugangsdaten einsetzen und von zusätzlichen Sicherheitsmechanismen wie der Zwei-Faktor-Authentifizierung (2FA) Gebrauch machen. Denn sonst können Datenlecks schnell unangenehme Folgen haben.

Ob der neue passwortlose Login eine sicherere Option ist, wird sich erst noch zeigen müssen. Wer Schwierigkeiten hat, sich seine Passwörter zu merken, kann jedoch auch auf eine Passwort-Datenbank zurückgreifen. Nur vielleicht nicht unbedingt auf LastPass.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.