Was bedeutet der PayPal-Vorfall für die Cybersecuritywelt
20.02.2023
PC, Information & Telekommunikation
PayPal wurde Opfer eines enormen "Credential-Stuffing" Angriffs. Viele Nutzer sind daher verunsichert, wie sicher ihr Geld und ihre Daten in der digitalen Welt sind, wenn so etwas selbst einem Big-Player wie PayPal passiert. Hier zwei Gedanken dazu von Sam Curry, Chief Security Officer bei Cybereason:
Was muss PayPal tun, um besser gegen diese Angriffe gewappnet zu sein?
Neue Zahlungssysteme zeichnen sich unter anderem durch ihre Einfachheit und Benutzerfreundlichkeit aus: Bei der Kaufabwicklung gibt es so wenig "Klicks" oder Herausforderungen wie möglich. Mit diesem Hintergrund gibt es nur wenige Lösungen, die PayPal tatsächlich umsetzen kann. Erstens kann PayPal eine Multi-Faktor-Authentifizierung einrichten - was allerdings eine zusätzliche Hürde oder den Einsatz von unterbrechungsfreien Authentifizierungsfaktoren bedeutet. Zu einem gewissen Grad wird dies bereits getan, aber allein der Erfolg von 35.000 Sicherheitsverletzungen deutet darauf hin, dass hier Verbesserungen nötig sind. Zweitens kann das Unternehmen zusätzliche Analysen durchführen, um Angriffsmuster zu untersuchen. Dies wird jedoch nur bedingt Wirkung zeigen, da die Angreifer die Muster aus operativer Sicht recht einfach beeinflussen und ändern können. Letztlich müssen die Nutzer also bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen, indem sie ihre Passwörter ändern, Passwort-Tresore nutzen, einmalige Passwörter verwenden und weitere ähnliche Maßnahmen anwenden. Nur so kann PayPal letztendlich ein System bereitstellen, das den Nutzern mehr als nur die Beobachtung ihrer Geldbewegungen ermöglicht.
Was sagt es über den Zustand von Cybersicherheit aus, wenn große Firmen immer wieder Opfer von Cyberangriffen werden und die sensiblen Daten ihrer Kunden ausspioniert werden?
In diesem Fall ist es wichtig zu wissen, dass nicht PayPal angegriffen wurde. Andere Sicherheitslücken führten dazu, dass die Passwörter vieler Benutzer gestohlen wurden. Da viele Menschen ihre Passwörter häufig mehrfach verwenden, waren die Hacker in der Lage, PayPal-Konten so lange mit den Passwörtern zu beschießen, bis sie 35.000 Übereinstimmungen fanden. Nun wäre es interessant zu wissen, wie viele dieser Authentifizierungen ins Leere liefen, bis die Angreifer 35.000 Treffer erzielten. Mit anderen Worten: Wie hoch war das Verhältnis von Erfolg zu Misserfolg? Falls dieses Verhältnis anormal ist, schließt sich die Frage an, wie lange PayPal gebraucht hat, um die Abweichungen zu erkennen. Der Teufel steckt im Detail, ebenso wie der Weg zur Verbesserung der Backend-Analytik. Dieser Vorfall sollte auch eine Warnung für andere Unternehmen sein, die wertvolle Daten oder gar Geld nur mit Passwörtern schützen. Denn, wenn PayPal nun seine Security-Maßnahmen verbessert, werden die Hacker die bereits gestohlenen Passwörter auf anderen Websites ausprobieren. Daher die essentielle Frage an die anderen Unternehmen: Sind Sie darauf vorbereitet?
Firmenkontakt:
Cybereason Inc.
Clarendon Street 18th Floor 200
MA 02116 Boston
Deutschland
+49 89 419599-46
cybereason@maisberger.com
https://www.cybereason.com/de/
Pressekontakt:
Maisberger GmbH
Claudius-Keller-Str. 3c
81669 München
cybereason@maisberger.com
+49 89 419599-46
http://www.maisberger.com
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Cybereason Inc.
20.08.2024 | Cybereason Inc.
Cybereason startet SDR Data Ramp-Programm
Cybereason startet SDR Data Ramp-Programm
20.12.2023 | Cybereason Inc.
Security-Trends: Generative AI krempelt Cybersecurity um
Security-Trends: Generative AI krempelt Cybersecurity um
Weitere Artikel in dieser Kategorie
23.12.2024 | TEXTER & SEO Österreich
Die Ki ist der größte Blödsinn der Neuzeit
Die Ki ist der größte Blödsinn der Neuzeit
18.12.2024 | Nutanix, Inc.
Nutanix erweitert KI-Plattform in die Public Cloud
Nutanix erweitert KI-Plattform in die Public Cloud
17.12.2024 | Yoummday
Cho-Time geht strategische Partnerschaft mit yoummday ein
Cho-Time geht strategische Partnerschaft mit yoummday ein
16.12.2024 | Orange Business Germany GmbH
Gemeinsame Initiative von Orange und La Poste
Gemeinsame Initiative von Orange und La Poste
16.12.2024 | Cooler Master
Pro-Level Direct Drive Racing mit Cooler Master x Simucube
Pro-Level Direct Drive Racing mit Cooler Master x Simucube