Pod přezdívkou „Chucky_BF“ nabízí neznámý pachatel na darknetu datový balíček o velikosti 1,1 gigabajtu s přístupovými údaji k účtům PayPal. Data údajně nepocházejí přímo od poskytovatele online plateb, ale byla pravděpodobně získána prostřednictvím malwaru z infikovaných zařízení. Podle internetové platformy „HackRead“ za ně hacker požaduje 750 dolarů.
Data získaná pomocí malwaru?
Podle zprávy mají soubory obsahovat e-mailové adresy, hesla v prostém textu a internetové adresy (URL), které jsou přímo propojeny s účty PayPal. „HackRead“ se domnívá, že data nepocházejí přímo od PayPalu, ale byla odcizena pomocí tzv. infostealer malwaru z infikovaných zařízení. Jde o škodlivý software určený ke krádeži citlivých informací – a to často zcela nepozorovaně.
Mezi takto odcizené údaje patří přihlašovací informace k e-mailovým účtům, internetovému bankovnictví, sociálním sítím a cloudovým službám. Program shromažďuje také údaje z kreditních karet, cookies, uložená hesla, historii prohlížení, obrázky, systémové informace a přístupy k PayPalu. Data se následně obvykle šifrují a prodávají na darknetu. Používají se i při dalších útocích, například krádežích identity nebo při převzetí účtů.
HackRead navíc připomíná, že PayPal nebyl dosud nikdy terčem kybernetického útoku takového rozsahu. Některá data mají být skutečná, jiná pocházejí z testovacích nebo falešných účtů. Podle expertů jde o „typickou směs“ podobných úniků. Prodávající tvrdí, že většina hesel je bezpečná a unikátní.
Dodal však i to, že mnohá hesla se opakují. To znamená, že lidé, kteří používají stejné heslo i na jiných stránkách, mohou být ohroženi nejen u PayPalu. Pokud by tvrzení „Chucky_BF“ odpovídala skutečnosti, šlo by o jeden z největších úniků dat spojených s PayPalem za poslední roky. Potenciálně by se to dotklo milionů uživatelů Gmailu, Yahoo!, Hotmailu a dalších e-mailových služeb.
Struktura datových sad usnadňuje jejich zneužití
Podle „Chucky_BF“ balíček o velikosti 1,1 gigabajtu obsahuje účty mnoha uživatelů z celého světa. Nebezpečná není jen samotná velikost úniku, ale i povaha údajů, které údajně obsahuje. Vedle kombinací e-mailů a hesel se v mnoha případech nacházejí také URL adresy přímo spojené se službami PayPalu. Ve své nabídce hacker uvádí i koncové body jako /signin, /signup, /connect a specifické odkazy pro Android. Tyto detaily naznačují, že data byla uspořádána tak, aby kriminálníkům usnadnila automatizaci přihlašování nebo zneužívání služeb.
Pochybnosti má i Troy Hunt, zakladatel služby „Have I Been Pwned“ (HIBP). Na síti X upozornil, že PayPal hesla v prostém textu neukládá. Domnívá se rovněž, že data byla odcizena pomocí malwaru. Celkově vidí čtyři možné scénáře. Kromě použití infostealer malwaru mohlo jít o tzv. credential stuffing – formu útoku, při níž hackeři využívají dříve uniklé přihlašovací údaje a automatizovaně se s nimi pokoušejí přihlásit do různých online služeb. Tyto kombinace bývají často získány z úniků dat například z internetových obchodů.
Mohl to být i podvod
Další možností je podle Hunta tzv. Magecart útok. Při něm se platební údaje odchytávají přímo na webových stránkách, zejména během dokončování nákupů v e-shopech. Tato metoda je známá také jako web skimming, formjacking nebo digital skimming.
Není ale vyloučeno ani to, že hacker jednoduše lže, poznamenal Hunt na síti X. Tento bezpečnostní expert založil HIBP v roce 2013. Jde o bezplatnou online službu, která umožňuje ověřit, zda se e-mailová adresa nebo telefonní číslo objevily v některém ze známých úniků dat.
PayPal se stal cílem kyberútoku také v prosinci 2022. Tehdy se hackerům podařilo proniknout do téměř 35 tisíc účtů. Společnost uvedla, že reagovala rychle a nikdo neutrpěl žádnou škodu.
K současnému případu se PayPal dosud nevyjádřil. Na dotaz Epoch Times firma do uzávěrky článku neodpověděla.
–etg–
