Регулятори Нью-Йорка оштрафували PayPal на 2 мільйони доларів після того, як розслідування, проведене Департаментом фінансових послуг Нью-Йорка (DFS), виявило серйозний пролом у безпеці, який розкрив особисті дані клієнтів, такі як номери соціального страхування тощо.
За даними розслідування, заходи безпеки PayPal на його платформі були недостатніми, щоб запобігти зловмисникам доступ до особистих даних користувачів, включаючи номери телефонів, електронну пошту, адреси та номери соціального страхування. DFS контролює всі фінансові установи в штаті Нью-Йорк.
Суперінтендант DFS Едрієнн А. Харріс сказала в заяві:
«Провідне в країні регулювання кібербезпеки Нью-Йорка встановлює критично важливий стандарт для захисту даних споживачів і посилення стійкості фінансових установ. Кваліфікований персонал із кібербезпеки є першою лінією захисту від можливих порушень даних, а забезпечення належного навчання та ефективне впровадження політик і процедур кібербезпеки є життєво важливими кроками для захисту конфіденційних даних і пом’якшення ризиків».
Проблема виникла, коли PayPal змінив спосіб обробки певних даних клієнтів, пов’язаних із формою IRS 1099-K, яка використовується для подання податкової звітності. Команди, відповідальні за керування цими змінами, не пройшли належного навчання системам і процесам, пов’язаним із внесенням цих змін, що призвело до помилок і, зрештою, розкрило конфіденційну інформацію клієнтів. Зловмисники скористалися цими недоліками в системі PayPal і отримали доступ до конфіденційних даних клієнтів.
Розслідування DFS також виявило, що у PayPal насправді не було чіткої політики контролю того, хто може отримати доступ до конфіденційної інформації. Усі ці проблеми, пов’язані з PayPal, порушували суворі правила кібербезпеки Нью-Йорка, спрямовані на захист споживачів від витоку даних і подібних атак. По-перше, Положення про кібербезпеку в Нью-Йорку діють із 2017 року й востаннє оновлювалися в листопаді 2023 року.
Раніше цього тижня Forbes також повідомляв про техніку «фішингу без фішингу», яку зловмисники використовували проти користувачів PayPal, щоб отримати доступ до їхніх облікових записів, де жертви часто отримували платіжні запити, які здавалися законними, безпосередньо через платформу PayPal, що ускладнювало виявити будь-які зловмисні наміри. Замість того, щоб використовувати підроблені електронні листи чи оманливі посилання, хакери скористалися вразливістю в інфраструктурі PayPal, щоб поєднати шахрайські запити зі звичайними транзакціями, що змусило багатьох користувачів неусвідомлено авторизувати неавторизовані платежі.
У відповідь компанія скинула паролі для постраждалих користувачів і закликала їх використовувати 2FA як додатковий рівень безпеки.