קורבן של מתקפת אישורים ב- Paypal חויבה לשלם לאדידס ולאגודת הכדורסל הלאומית (NBA) סכום של 1.21 מיליון דולר, לאחר שפושעי סייבר השתמשו בחשבון ה- Paypal שלה כדי למכור פריטים מזויפים. תושבת אוסטרליה – שרה לוק, הייתה קורבן של מתקפת מילוי אישורים (Credential Stuffing Attack) שהשפיעה על כ- 35,000 לקוחות Paypal בדצמבר 2022. לוק סבורה שהיא הייתה ממוקדת במתקפת הסייבר הזו, שכן פרטיה נחשפו בדלף המידע של Medibank באוקטובר 2022. Medibank טענה בזמנו כי לא נגנבו סיסמאות במהלך דלף המידע, כך שמתקפת מילוי האישורים אינה קשורה אליה.
מה- 6 בדצמבר עד ה- 8 בדצמבר 2022 שימש חשבון ה- Paypal של לוק לביצוע מאות עסקאות הונאה. בעקבות זאת היא קיבלה מייל המודיע לה שהיא עומדת בפני תביעה משפטית מצד אדידס לרבות הפרת סימן מסחר הנוגע לפריטי אדידס מזויפים שנמכרו בשמה. המסמכים הוגשו באופן דיגיטלי והגיעו מבית המשפט המחוזי של פלורידה. ללוק הוגשו אז מה- NBA מסמכים דומים שהוגשו לבית המשפט המחוזי של אילינוי. שני התיקים קיבלו אישור בית המשפט להתנהל באופן עצמאי, כלומר לא ה- NBA ולא אדידס נדרשו להיות נוכחים בהליכים.
לוק אמרה לחדשות ABC כי תחילה חשבה שהמיילים הם ניסיון למתקפת סייבר: "חשבתי שזו הונאה, עוד מתיחה ומחקתי את המייל הראשון. אחרי אימיילים שקיבלתי לאחר מכן, הבנתי שיש בזה משהו, זה אמיתי". לוק כינתה את האישומים הכוללים פריצת סייבר, הפרת סימנים מסחריים והפרת IP – "מזעזעים". לפי חדשות ABC נפסקו נגד לוק בתיקים של אדידס ו- NBA פיצויים בסך מיליון דולר ו- 200,000 דולר בהתאמה.
בניסיון לטהר את שמה, יצרה לוק קשר עם משטרת ניו סאות' ויילס, רשות תלונות הצרכנים האוסטרלית (ACCA), ועדת התלונות הפיננסיות האוסטרלית (AFCC) ומרכז אבטחת הסייבר האוסטרלי (ACSC). למרות זאת היא לא מצאה פתרון ואמרה כי היא התמודדה עם מחסומים רבים בעת ניסיון לתקן את המצב והרגישה "בלתי נשמעת ובלתי נראית על ידי כל כך הרבה ארגונים ורשויות". לוק הוסיפה כי היא לא יודעת למי לפנות לעזרה או לעצה, אך היא ניסתה לבטל את הפסיקות ולבטל את הנזקים על ידי עורך דין אמריקאי העוסק בתחום הקניין הרוחני. לוק הסבירה כי ההליך המשפטי גרם לה לחרדה, שכן היא אינה יודעת כעת אם נכסיה יתפסו או יוקפאו בעקבות הפסיקות.
מהי מתקפת מילוי אישורים? במתקפות מילוי אישורים (Credential Stuffing Attack) משתמשים פושעי סייבר באישורי גישה – שמות משתמש וסיסמאות שנגנבו במהלך פרצות מידע בניסיון להיכנס לחשבונות אחרים השייכים לקורבנות. לשם כך משתמשים פושעי הסייבר במערכות אוטומטיות כדי להכניס את האישורים לאתרים מקוונים במטרה לגלות סיסמה הנמצאת בשימוש חוזר. הדבר מאפשר להם גישה לחשבון הקורבן ומאפשר להם גישה לנתונים נוספים כגון מספרי זהות, פרטי תשלום או הרשאות אחרות וכן, נתונים נוספים העלולים להיגנב ולהימכר לגורמים זדוניים אחרים. ניתן להגן מפני מילוי אישורים על ידי שימוש בסיסמאות שונות ומורכבות עבור כל אחד מהחשבונות, כמו גם שימוש באימות רב-גורמי (MFA). על ידי שימוש ב- MFA, ניתן למנוע מתקפות מילוי אישורים, שכן פושעי סייבר אינם יכולים לגשת לחשבון גם אם הם משתמשים בשם המשתמש והסיסמה הנכונים.
