Kimlik ve Erişim Yönetimi , Çok Faktörlü ve Riske Dayalı Kimlik Doğrulama , Güvenlik İşlemleri
Çevrimiçi Ödemeler Devi, Aralık Ayında 2 Günlük Saldırıdan Yaklaşık 35.000 Kişinin Etkilendiğini Söyledi
David Perera (@daveperera) •
19 Ocak 2023
Çevrimiçi ödeme devi PayPal, bilgisayar korsanlarının Aralık ayında yaklaşık 35.000 Amerikalının hesaplarına erişmek için daha önce ihlal edilmiş kullanıcı adı ve şifre kombinasyonlarını kullanarak otomatik bir saldırı gerçekleştirdiğini söyledi.
Ayrıca bakınız: Hızlı Dijitalleşme ve Risk: Yuvarlak Masa Önizlemesi
San Jose, California merkezli şirket, saldırıyı 34.942 kişiye gönderilen bildirim mektuplarıyla ortaya çıkardı. Kimlik bilgisi doldurma olarak bilinen saldırı, 6 Aralık 2022 ile 8 Aralık 2022 arasında gerçekleşti ve isimler, adresler ve Sosyal Güvenlik numaraları dahil olmak üzere verileri açığa çıkardı. PayPal, etkilenen hesaplardan kaynaklanan yetkisiz işlemleri tespit etmediğini söylüyor.
Şirket, Equifax’tan etkilenen kullanıcılara iki yıllık ücretsiz kimlik izleme hizmeti sunuyor. Yorum talebine yanıt vermedi.
Saldırganların kullanabileceği bilgisayar korsanlığı yöntemleri cephaneliğinde, kimlik bilgisi doldurma ne özellikle karmaşık ne de başarılıdır. Bazıları, daha önce ihlal edilmiş bir kullanıcı adını bir parolayla eşleştirme ve başka bir hesabın kilidini açma olasılığının %1’den az olduğunu söylüyor.
Yine de, kimlik bilgilerinin doldurulması devam ediyor; bu, düz metinde depolanan kimlik bilgilerini içeren büyük ihlallerin veya tersine dönmeye açık korumalı karma algoritmaların kaçınılmaz bir sonucu.
Siber güvenlik firması F5 tarafından kimlik bilgisi doldurma saldırılarına ilişkin 2021 analizi, bilinen saldırı sayısının arttığı ancak dökülen kimlik bilgilerinin yıllık hacminin düştüğü sonucuna vardı. Raporda, bildirilen olaylardaki artışın gelişmiş tespitin bir işlevi olabileceği belirtildi.
Güvenlik uzmanları, sürekli olarak bireylere, her hesap için güçlü ve benzersiz parolalar kullanarak çevrimiçi maruziyetlerini azaltmalarını ve mümkün olan yerlerde çok faktörlü kimlik doğrulamayı açmalarını tavsiye ediyor. Bir kalıba dayalı olmayan uzun şifreleri (rastgele alfasayısal karakterlerin bir kombinasyonuna sahip şifreler) hatırlamanın zorluğu göz önüne alındığında, bu tavsiye, bir şifre yöneticisi kullanma tavsiyesiyle birlikte gelir. Ulusal Teknoloji Standartları Enstitüsü, parolanın en az sekiz karakter uzunluğunda olması gerektiğini söylese de, diğer siber güvenlik uzmanları 11 ile 15 karakter arasında bir uzunluk önermektedir.
Parola yöneticileri bilgisayar korsanlarına karşı korumalı değildir, ancak güçlü bir ana parola ile korunan her hesap için karmaşık ve benzersiz parolalar depolayan bir parola yöneticisi ile erişim için çok faktörlü kimlik doğrulamanın birleşimi, güvenlik için endüstri standardı olmaya devam ediyor ve tipik bir kullanıcının becerisini çok geride bırakıyor. hesapları güvenli hale getirmek için.