Statul New York a anunțat o despăgubire de 2.000.000 de dolari cu PayPal pentru neconformitatea cu reglementările privind securitatea cibernetică ale statului, care a condus la o încălcare a datelor din 2022. Acțiunea Departamentului de Servicii Financiare (DFS) arată că actorii de amenințare au profitat de breșele de securitate din sistemele PayPal pentru a efectua atacuri de umplere a legitimațiilor care au permis accesul la informații sensibile ale clienților. În 2023, PayPal a dezvăluit că actorii de amenințare au efectuat un atac de umplere a legitimațiilor pe scară largă între 6 decembrie și 8 decembrie 2022, când au fost încălcate 35.000 de conturi. Datele expuse la acea vreme includ nume complete, date de naștere, adrese poștale, numere de securitate socială și numere de identificare fiscală individuale. Anunțul DFS din New York aruncă mai multă lumină asupra încălcării, explicând că una dintre neglijențele de securitate ale PayPal a fost o eroare în modul în care formularele fiscale 1099-K au fost distribuite pe platformă. „Datele clienților au fost expuse după ce PayPal a implementat modificări în fluxurile de date existente pentru a face formularele IRS 1099-K disponibile pentru mai mulți dintre clienții săi”, explică DFS. „Cu toate acestea, echipele însărcinate cu implementarea acestor modificări nu au fost instruite cu privire la sistemele și procesele de dezvoltare a aplicațiilor PayPal. Ca rezultat, nu au urmat procedurile corecte înainte ca modificările să intre în vigoare.” În urma implementării defectuoase, infractorii cibernetici care dețineau legitimații valabile pentru conturile PayPal au putut accesa acele conturi și formularele lor 1099-K, care au dezvăluit o mulțime de informații sensibile. Succesul acestor atacuri de „umplere a legitimațiilor” depindea de lipsa protecției de autentificare multi-factor (MFA), care nu era obligatorie pe platformă la acea vreme. Acest lucru, combinat cu controalele slabe de acces care permit încercări automate de conectare fără CAPTCHA sau limitare a ratei, a constituit eșecuri cheie de conformitate pentru PayPal. Ordinul de consimțământ specifică încălcările 23 NYCRR § 500.3, 500.10 și 500.12 ale Regulamentului New York privind securitatea cibernetică pentru neimplementarea politicilor corecte de securitate cibernetică, instruirea personalului și controalele de autentificare. Deși PayPal a luat mai multe măsuri de remediere după descoperirea încălcării, inclusiv mascarea datelor sensibile pe formularele IRS, implementarea CAPTCHA și limitarea ratei și obligativitatea MFA pentru toate conturile de clienți din SUA, acestea au venit prea târziu, potrivit DFS. Termenii acordului de despăgubire impun ca PayPal să plătească o amendă de 2 milioane de dolari în termen de 10 zile, în timp ce nu se va lua nicio altă acțiune decât dacă DFS-ul din New York descoperă noi încălcări.
Leave a Reply