PayPal a fost sancționat cu o amendă civilă de 2 milioane de dolari de către Departamentul de Servicii Financiare din statul New York (NYDFS) din cauza unor deficiențe de securitate cibernetică care au dus la expunerea numerelor de securitate socială ale clienților la sfârșitul anului 2022.
Ce a descoperit investigația?
Adrienne Harris, superintendentul serviciilor financiare din New York, a declarat că investigația a relevat deficiențe semnificative în gestionarea funcțiilor esențiale de securitate cibernetică la PayPal. Printre problemele identificate s-au numărat:
- Personal necalificat: PayPal nu a desemnat personal calificat pentru gestionarea riscurilor de securitate cibernetică.
- Lipsa de instruire: Compania nu a oferit instruire adecvată angajaților săi pentru a face față riscurilor cibernetice.
Aceste deficiențe au permis ca numele, datele de naștere și numerele de securitate socială ale clienților PayPal să fie accesibile infractorilor cibernetici timp de aproximativ șapte săptămâni.
Cum a fost descoperită problema?
Problema a fost identificată pe 6 decembrie 2022, când un analist de securitate PayPal a citit un mesaj online care menționa o vulnerabilitate: „PP EXPLOIT TO GET SSN”. A doua zi, echipa de securitate cibernetică a PayPal a observat o creștere bruscă a încercărilor de accesare a platformei, descoperind că infractorii foloseau tehnici de „credential stuffing” (utilizarea unor liste de acreditări furate…
