PayPal memberi tahu pengguna bahwa ada serangan siber yang menyasar data kredensial alias credential stuffing ke ribuan akun pengguna selama 6 – 8 Desember 2022. Sebanyak 34.942 akun terkena dampak.
Credential stuffing adalah upaya hacker mengakses akun dengan mencoba memasangkan username dan password yang diperoleh dari kebocoran data yang diunggah di berbagai website.
Namun PayPal mengatakan belum ada informasi terkait penggunaan informasi pengguna untuk tindakan penyalahgunaan maupun transaksi tidak sah.
“Juga tidak ada bukti bahwa data kredensial pengguna diperoleh dari sistem PayPal,” kata PayPal dalam surat pemberitahuan kepada pengguna, Rabu (18/1).
Dalam surat tersebut, perusahaan mengonfirmasi bahwa pada 20 Desember 2022, terdapat pihak tidak berwenang yang dapat mengakses akun pelanggan PayPal menggunakan kredensial login.
Berdasarkan investigasi PayPal, aktivitas tidak sah itu terjadi antara 6 - 8 Desember 2022. “Saat kami menghapus akses untuk pihak ketiga yang tidak sah,” katanya.
Selama periode itu, pihak ketiga yang tidak berwenang dapat melihat dan berpotensi memperoleh beberapa informasi pribadi untuk pengguna PayPal tertentu.
Bleeping Computer melaporkan, informasi pribadi pengguna PayPal yang diduga bocor mencakup nama, alamat, nomor jaminan sosial, nomor pokok wajib pajak, dan/atau tanggal lahir pengguna.