PayPal notificó que 35.000 usuarios fueron hackeados entre el 6 y el 8 de diciembre. La diferencia radica en el método que utilizaron los ciberatacantes para descifrar las contraseñas, ya que la compañía en sí no fue pirateada, sino que se utilizó una técnica conocida como relleno de credenciales aprovechando la información de inicio de sesión filtrada que las personas reutilizaron para sus cuentas.
Durante estos dos días, los ciberdelincuentes tuvieron acceso a los nombres completos, fechas de nacimiento, direcciones postales y números de identificación fiscal de los titulares de las cuentas, según Bleeping Computer. Además, los historiales de transacciones, y detalles de tarjetas bancarias, así como datos de facturación, también son accesibles desde las cuentas de PayPal.
Se trata de datos muy personales, aunque la organización consiguiera detener la intrusión en esas jornadas, restablecer las contraseñas de los afectados y comprobar que no se intentaron transacciones no autorizadas.
También ha ofrecido, de forma gratuita, los servicios de monitorización de crédito de Equifax a los usuarios notificados. Sin embargo, este ciberataque nunca tuvo por qué ocurrir; ninguna de estas cuentas hubiera tenido problema si hubiesen tenido dos factores de autenticación.