Cyberthreat.id – Perusahaan layanan uang digital PayPal baru saja memberitahu para pengguna di Amerika Serikat, bahwa seorang peretas berhasil mengakses akun mereka  lebih dari sebulan yang lalu.

Dikutip dari Info Security Magazine,  perusahaan mengatakan, akses idak sah terjadi antara 6 Desember dan 8 Desember tahun lalu, setelah itu perusahaan menyadari apa yang terjadi dan menutup kerentanan yang digunakan oleh para pelaku ancaman untuk mengakses akun pengguna.

“Selama ini, pihak ketiga yang tidak sah dapat melihat, dan berpotensi memperoleh, beberapa informasi pribadi untuk pengguna PayPal tertentu,” kata PayPal.

PayPal mengatakan, pihaknya tidak memiliki informasi yang menunjukkan bahwa informasi pribadi telah disalahgunakan sebagai akibat dari insiden ini. pihaknya juga belum menemukan ada transaksi tidak sah di akun pengguna.

“Juga tidak ada bukti bahwa kredensial login Anda diperoleh dari sistem PayPal mana pun,” kata PayPal.

Bahkan jika pelaku ancaman tidak melakukan transaksi tidak sah setelah mengakses 34.942 akun yang dipermasalahkan, mereka mungkin telah mengambil beberapa informasi pribadi yang sangat dapat dimonetisasi. Informasi pribadi yang terbuka “dapat mencakup” nama pelanggan, alamat, nomor Jaminan Sosial, nomor pokok wajib pajak individu dan/atau tanggal lahir, kata PayPal.

“PayPal telah menyatakan bahwa tidak ada bukti bahwa akun pengguna digunakan secara jahat, tetapi ini seharusnya memberikan sedikit kenyamanan bagi para korban,” bantah Julia O’Toole, CEO MyCena Security Solutions.

Adanya kebocoran kresendia login pengguna ini, membuat para penyerang dapat menargetkan korban ini dengan email phishing dan penipuan pencurian identitas dan menggunakan kata sandi itu lagi di situs lain.

Serangan itu sendiri memiliki semua keunggulan dari kampanye isian kredensial – di mana login yang dilanggar dicuri dari situs lain dan/atau dibeli di web gelap dimasukkan ke perangkat lunak otomatis dan dicoba di beberapa situs lain untuk melihat apakah ada kecocokan.

“Jenis pelanggaran ini menunjukkan pentingnya bagi pengguna untuk mengaktifkan autentikasi dua faktor (2FA) dan tidak menggunakan kembali kata sandi. Hal ini dapat dihindari jika PayPal menerapkan penggunaan 2FA untuk semua penggunanya,” bantah salah satu pendiri dan CEO Piiano, Gil Dabah.

Meskipun 2FA kurang nyaman bagi pengguna karena mereka harus menyetujui login mereka menggunakan ponsel mereka. Sangat disarankan untuk menggunakannya, terutama ketika pengguna yang login dapat melakukan transaksi keuangan.