Credential stuffing zijn aanvallen waarbij hackers toegang proberen te krijgen tot een account door gebruikersnaam- en wachtwoordparen uit datalekken op verschillende websites te proberen. Volgens het datalekrapport van PayPal werden 34.942 gebruikers getroffen door het incident.
Product- en marketingmanager van ESET Turkije, Can Erginkurban, maakte de volgende opmerkingen over het incident:
“De eigenaren van de getroffen accounts hadden inmiddels op de hoogte moeten zijn. Bovendien moeten deze mensen helaas op hun hoede zijn vanwege de hoeveelheid persoonlijke gegevens die mogelijk zijn verkregen als gevolg van een simpele aanval. Een credential stuffing-aanval is een automatische aanval die plaatsvindt wanneer een bedreigingsactor de inloggegevens probeert die zijn gemaakt als gevolg van een eerdere aanval op een ander account. Het blijft een van de gemakkelijkste aanvalsvectoren voor cybercriminelen, maar gebruikers kunnen hun accounts gemakkelijk afweren en beschermen in slechts een paar stappen. Iedereen moet nu unieke, sterke wachtwoorden gebruiken voor alle accounts op internet, vooral voor accounts die met financiën te maken hebben. Ook de toegang tot accounts moet worden bemoeilijkt door multifactorauthenticatie mogelijk te maken. Multi-factor authenticatie kan eenvoudig worden bereikt via sms of een app. Het is zorgwekkend dat PayPal bij het inloggen nog steeds niet standaard multi-factor authenticatie vereist. Als ze het hadden afgedwongen, zouden credential stuffing-aanvallen zijn mislukt.”
Wees de eerste om te reageren