PayPal maakt bekend dat de gegevens van 35.000 gebruikers zijn blootgesteld in een datalek.

Het incident vond plaats tussen 6 en 8 december. Volgens de verklaring ontdekte PayPal de inbreuk op 20 december. Het lek werd veroorzaakt door een credential-stuffing attack, waarbij hackers eerder gelekte inloggegevens gebruiken om toegang te krijgen tot accounts.

De aanvalsstrategie werkt alleen wanneer gebruikers dezelfde wachtwoorden herhaaldelijk gebruiken voor meerdere websites — riskant gedrag, maar desalniettemin veelvoorkomend.

Het lek omvat namen, adressen, belastinggegevens en geboortedata. PayPal reageerde met een onderzoek, wachtwoordwijzigingen en nieuwe beveiligingsprocedures. Getroffen gebruikers krijgen twee jaar lang gratis toegang tot identity security-diensten van Equifax.

Onvoldoende verificatie

Critici zien de maatregelen als mosterd na de maaltijd. Experts stellen dat PayPal meer had kunnen doen om het lek te voorkomen, waaronder verplichte meerstapsverificatie (MFA).

“Moderne MFA-technologieën kosten bijna niets om te implementeren en zouden standaard moeten worden ingeschakeld door financiële dienstverleners”, reageerde Ilia Kolochenko, oprichter van securitybedrijf ImmuniWeb SA en lid van het Europol Data Protection Experts Network.

Craig Lurey, CTO bij Keeper Security, benadrukte de noodzaak van sterke verificatie. Volgens hem moeten cloudplatforms MFA verplichten om credential-stuffing attacks te voorkomen. Ook wees Lurey op het belang van training in het herkennen van verdachte phishing mails en sms-berichten.

Tip: Air France-KLM verliest klantgegevens bij datalek