Firma PayPal zapłaci grzywnę w wysokości 2 milionów dolarów w związku z naruszeniami bezpieczeństwa cybernetycznego, które doprowadziły do ujawnienia danych osobowych klientów, w tym numerów ubezpieczenia społecznego (Social Security Number). Departament Usług Finansowych Stanu Nowy Jork (NYDFS) poinformował, że do incydentu doszło pod koniec 2022 roku.
Adrienne Harris, nadzorca ds. usług finansowych w Nowym Jorku, wyjaśniła, że dochodzenie wykazało zaniedbania ze strony PayPal w kluczowych obszarach zarządzania bezpieczeństwem. Firma nie zatrudniła wykwalifikowanego personelu do nadzoru nad funkcjami cyberbezpieczeństwa ani nie zapewniła odpowiedniego szkolenia w zakresie ochrony przed zagrożeniami. W efekcie dane klientów, takie jak imiona, daty urodzenia i numery ubezpieczenia społecznego, były przez około siedem tygodni łatwo dostępne dla cyberprzestępców.
Jak doszło do naruszenia?
Problemy zostały odkryte 6 grudnia 2022 roku, kiedy analityk ds. bezpieczeństwa zauważył w internecie komunikat o treści "PP EXPLOIT TO GET SSN" (wskazujący na metodę zdobywania numerów ubezpieczenia społecznego za pomocą PayPal). Następnego dnia zespół ds. cyberbezpieczeństwa PayPal zaobserwował gwałtowny wzrost prób nieautoryzowanego dostępu do platformy. Śledztwo wykazało, że cyberprzestępcy stosowali technikę "credential stuffing", czyli wykorzystywali skradzione dane logowania do uzyskania dostępu do federalnych formularzy podatkowych dziesiątek tysięcy klientów.
PayPal finalnie przyznał się do błędów i współpracował podczas dochodzenia. Firma wydała oświadczenie, w którym podkreśliła, że ochrona danych klientów i zapewnienie bezpiecznej platformy są dla niej priorytetem.
Dane klientów stały się szczególnie narażone po tym, jak PayPal wprowadził zmiany w przepływie danych, aby umożliwić większej liczbie użytkowników dostęp do formularzy podatkowych. NYDFS zarzucił również firmie, że nie wprowadziła wystarczających zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe (MFA) czy CAPTCHA, które mogłyby zapobiec takim incydentom.
Konsekwencje i środki naprawcze
PayPal finalnie przyznał się do błędów i współpracował podczas dochodzenia. Firma wydała oświadczenie, w którym podkreśliła, że ochrona danych klientów i zapewnienie bezpiecznej platformy są dla niej priorytetem. Aby zapobiec podobnym naruszeniom w przyszłości, PayPal wprowadził uwierzytelnianie wieloskładnikowe (MFA) na wszystkich kontach klientów w USA, wymusił zmianę haseł na wszystkich dotkniętych kontach, oraz zaimplementował CAPTCHA, aby ograniczyć nieautoryzowany dostęp do usługi.
Grzywna została nałożona na podstawie przepisów o cyberbezpieczeństwie obowiązujących w stanie Nowy Jork od 2017 roku. Incydent ten podkreśla rosnące znaczenie zabezpieczeń w erze cyfrowej i potencjalne konsekwencje dla firm, które zaniedbują ochronę danych klientów. Takie "wpadki" mogą się dziać wszędzie, w każdej usłudze trzymającej nasze dane. Dlatego sugerujemy, by mieć dosłownie w każdym miejscu inne hasło i login. Może to znacznie ograniczyć szkody w przypadku takich wycieków.
Pokaż / Dodaj komentarze do: Dlaczego PayPal nie zareagował na czas? Szczegóły wielkiego skandalu z danymi