A PayPal 2 millió dolláros polgári jogi bírságot fizet a kiberbiztonsági hibák miatt, amelyek miatt 2022 végén nyilvánosságra kerültek az ügyfelek társadalombiztosítási számai.
Adrienne Harris, New York állam pénzügyi szolgáltatásokért felelős főfelügyelője elmondta, hogy a hivatala által végzett vizsgálat megállapította, hogy a PayPal nem alkalmazott szakképzett személyzetet a kulcsfontosságú kiberbiztonsági funkciók irányítására, illetve nem biztosított megfelelő képzést a kiberbiztonsági kockázatok kezelésére. A New York állam pénzügyi szolgáltatásokért felelős minisztériumának közleménye szerint a San Jose-i, kaliforniai székhelyű digitális fizetési vállalat ügyfeleinek nevei, születési dátumai és társadalombiztosítási számai mintegy hét héten keresztül könnyen hozzáférhetővé váltak a kiberbűnözők számára.
A PayPal együttműködött a vizsgálatban. „A fogyasztók személyes adatainak védelme és a biztonságos platform fenntartása kiemelt prioritás számunkra, és komolyan vesszük a szabályozási felelősségünket” – áll a vállalat közleményében. A beleegyező nyilatkozat szerint a PayPal azután fedezte fel a problémát, hogy egy biztonsági elemző 2022. december 6-án egy online üzenetet olvasott, amelyen az állt: „PP EXPLOIT TO GET SSN”. Másnap a PayPal kiberbiztonsági csapata azt tapasztalta, hogy megugrott az online platformhoz való hozzáférési kísérletek száma, és megállapította, hogy a kiberbűnözők „hitelesítő adatokat tölttek ki”, hogy ügyfelek tízezreinek szövetségi adónyomtatványait megtekinthessék.
Harris azt is kifogásolta, hogy a PayPal nem követelte meg az ügyfelektől a többfaktoros hitelesítést vagy az olyan biztonsági eljárások alkalmazását mint például a CAPTCHA a jogosulatlan hozzáférés megakadályozására. A bírság a pénzügyi szolgáltatások minisztériumának 2017-ben elfogadott kiberbiztonsági rendeletének megsértéséért járt. A PayPal mostantól minden amerikai ügyfélszámláján megköveteli a többfaktoros hitelesítést, az érintett számlákon jelszó-visszaállítást kényszerített ki, és bevezette a CAPTCHA-t — számolt be a Reuters..
Összefoglalás
- Adrienne Harris, New York állam pénzügyi szolgáltatásokért felelős főfelügyelője elmondta, hogy a hivatala által végzett vizsgálat megállapította, hogy a PayPal nem alkalmazott szakképzett személyzetet a kulcsfontosságú kiberbiztonsági funkciók irányítására, illetve nem biztosított megfelelő képzést a kiberbiztonsági kockázatok kezelésére.
- Harris azt is kifogásolta, hogy a PayPal nem követelte meg az ügyfelektől a többfaktoros hitelesítést vagy az olyan biztonsági eljárások alkalmazását mint például a CAPTCHA a jogosulatlan hozzáférés megakadályozására.
- A PayPal mostantól minden amerikai ügyfélszámláján megköveteli a többfaktoros hitelesítést, az érintett számlákon jelszó-visszaállítást kényszerített ki, és bevezette a CAPTCHA-t — számolt be a Reuters.