PayPal memberi tahu pengguna bahwa ada serangan siber yang menyasar data kredensial alias credential stuffing ke ribuan akun pengguna selama 6 – 8 Desember 2022. Sebanyak 34.942 akun terkena dampak.
Credential stuffing adalah upaya hacker mengakses akun dengan mencoba memasangkan username dan password yang diperoleh dari kebocoran data yang diunggah di berbagai website.
Namun PayPal mengatakan belum ada informasi terkait penggunaan informasi pengguna untuk tindakan penyalahgunaan maupun transaksi tidak sah.
“Juga tidak ada bukti bahwa data kredensial pengguna diperoleh dari sistem PayPal,” kata PayPal dalam surat pemberitahuan kepada pengguna, Rabu (18/1).
Dalam surat tersebut, perusahaan mengonfirmasi bahwa pada 20 Desember 2022, terdapat pihak tidak berwenang yang dapat mengakses akun pelanggan PayPal menggunakan kredensial login.
Berdasarkan investigasi PayPal, aktivitas tidak sah itu terjadi antara 6 - 8 Desember 2022. “Saat kami menghapus akses untuk pihak ketiga yang tidak sah,” katanya.
Selama periode itu, pihak ketiga yang tidak berwenang dapat melihat dan berpotensi memperoleh beberapa informasi pribadi untuk pengguna PayPal tertentu.
Bleeping Computer melaporkan, informasi pribadi pengguna PayPal yang diduga bocor mencakup nama, alamat, nomor jaminan sosial, nomor pokok wajib pajak, dan/atau tanggal lahir pengguna.
Paypal segera memulai penyelidikan dan mengambil tindakan, termasuk dengan mengambil langkah-langkah untuk mencegah pelaku yang tidak berwenang mendapatkan informasi pribadi lebih lanjut.
“Kami mengatur ulang kata sandi dari akun PayPal yang terpengaruh dan menerapkan kontrol keamanan yang ditingkatkan, yang mengharuskan Anda membuat kata sandi baru saat masuk lagi ke akun,” katanya.
Perusahaan mengamankan layanan Equifax untuk memberikan layanan pemantauan identitas tanpa biaya kepada pengguna selama dua tahun.
Equifax merupakan perusahaan pelaporan kredit nasional yang melacak dan menilai sejarah keuangan konsumen Amerika Serikat. Layanannya memungkinkan orang untuk mengetahui apakah datanya bocor.
Perusahaan sangat menganjurkan pengguna yang memperoleh pemberitahuan dugaan serangan siber, untuk mengubah kata sandi akun. Caranya dengan menggunakan kode atau pasword yang unik dan panjang.
Biasanya, kata sandi yang baik setidaknya terdiri dari 12 karakter dan menyertakan karakter dan simbol alfanumerik.
Selain itu, PayPal menyarankan pengguna mengaktifkan perlindungan autentikasi dua faktor (2FA). Ini untuk mencegah pihak tidak berwenang mengakses akun, bahkan jika mereka memiliki nama pengguna dan kata sandi yang valid.