PayPal a fost sancționat cu o amendă civilă de 2 milioane de dolari de către Departamentul de Servicii Financiare din statul New York (NYDFS) din cauza unor deficiențe de securitate cibernetică care au dus la expunerea numerelor de securitate socială ale clienților la sfârșitul anului 2022.
Ce a descoperit investigația?
Adrienne Harris, superintendentul serviciilor financiare din New York, a declarat că investigația a relevat deficiențe semnificative în gestionarea funcțiilor esențiale de securitate cibernetică la PayPal. Printre problemele identificate s-au numărat:
- Personal necalificat: PayPal nu a desemnat personal calificat pentru gestionarea riscurilor de securitate cibernetică.
- Lipsa de instruire: Compania nu a oferit instruire adecvată angajaților săi pentru a face față riscurilor cibernetice.
Aceste deficiențe au permis ca numele, datele de naștere și numerele de securitate socială ale clienților PayPal să fie accesibile infractorilor cibernetici timp de aproximativ șapte săptămâni.
Cum a fost descoperită problema?
Problema a fost identificată pe 6 decembrie 2022, când un analist de securitate PayPal a citit un mesaj online care menționa o vulnerabilitate: „PP EXPLOIT TO GET SSN”. A doua zi, echipa de securitate cibernetică a PayPal a observat o creștere bruscă a încercărilor de accesare a platformei, descoperind că infractorii foloseau tehnici de „credential stuffing” (utilizarea unor liste de acreditări furate pentru a accesa conturi).
Vulnerabilitatea a apărut după ce PayPal a modificat fluxurile de date existente pentru a face formularele fiscale federale disponibile pentru mai mulți clienți.
Criticile aduse de autorități
NYDFS a criticat, de asemenea, PayPal pentru că nu a implementat măsuri de securitate adecvate, inclusiv:
- Autentificare multifactorială: PayPal nu a cerut utilizatorilor să folosească autentificarea multifactorială (MFA).
- Controale precum CAPTCHA: Lipsa controalelor suplimentare pentru a preveni accesul neautorizat.
Aceste deficiențe au fost considerate o încălcare a reglementărilor de securitate cibernetică adoptate de Departamentul de Servicii Financiare din New York în 2017.
Măsuri luate de PayPal
În urma incidentului, PayPal a implementat o serie de măsuri pentru a consolida securitatea platformei:
- Autentificare multifactorială obligatorie: MFA este acum necesară pentru toate conturile clienților din Statele Unite.
- Resetarea parolelor: A fost impusă resetarea parolelor pentru conturile afectate.
- Introducerea CAPTCHA: PayPal a implementat controale CAPTCHA pentru a preveni accesul neautorizat.
Poziția companiei
PayPal a colaborat pe parcursul anchetei și a declarat într-un comunicat: „Protejarea informațiilor personale ale consumatorilor și menținerea unei platforme sigure reprezintă o prioritate pentru noi și tratăm cu seriozitate responsabilitățile noastre de reglementare.”
Această amendă servește ca un avertisment pentru companii să își consolideze măsurile de securitate cibernetică și să respecte standardele stricte pentru protecția datelor clienților.