Cyberataki i zaniedbania w PayPal
Stan Nowy Jork podjął stanowcze kroki wobec PayPal, ogłaszając ugodę opiewającą na 2 miliony dolarów. To reakcja na poważne naruszenie przepisów dotyczących cyberbezpieczeństwa, które doprowadziło do wycieku danych tysięcy klientów platformy w 2022 roku. Główne oskarżenia dotyczą braku odpowiednich zabezpieczeń przed atakami cyberprzestępców, którzy wykorzystali luki w systemie w ramach ataków typu credential stuffing.Naruszenie, które miało miejsce między 6 a 8 grudnia 2022 roku, objęło aż 35 000 kont użytkowników. Ujawnione informacje, takie jak nazwiska, daty urodzenia, adresy, a także numery ubezpieczenia społecznego i identyfikatory podatkowe, wzbudziły niepokój zarówno wśród klientów, jak i organów nadzorczych. W świetle tych wydarzeń Departament Usług Finansowych (DFS) szczegółowo przeanalizował okoliczności naruszenia, wskazując nieprawidłowości w procedurach PayPal.
Błędy proceduralne i ich konsekwencje
Raport DFS wskazuje, że jednym z problemów proceduralnych była nieprawidłowa implementacja zmian w przepływie danych, co doprowadziło do ujawnienia informacji o klientach w kontekście formularzy podatkowych 1099-K. Zmiany te miały na celu udostępnienie formularzy IRS większej grupie klientów, jednak zostały wprowadzone przez zespoły, które nie posiadały wystarczającej wiedzy o systemach PayPal. W efekcie doszło do błędów proceduralnych oraz zaniedbań w zakresie weryfikacji bezpieczeństwa.Skutki tych uchybień proceduralnych stały się widoczne w postaci ataków hakerskich, które wykorzystały istniejące luki w zabezpieczeniach. Brak wprowadzenia wieloskładnikowego uwierzytelniania (MFA) do końca 2022 roku znacząco zwiększył podatność systemu na masowe próby logowania przez cyberprzestępców. Dodatkowo brak wdrożenia mechanizmów takich jak CAPTCHA czy ograniczeń liczby logowań sprawił, że platforma stała się łatwym celem dla atakujących, co jeszcze bardziej pogłębiło problem związany z niedociągnięciami proceduralnymi.
Reakcje, naprawy i ugoda
Chociaż PayPal zareagował na naruszenie, wdrażając szereg poprawek, w tym maskowanie danych w formularzach 1099-K oraz obowiązkowe MFA dla klientów w USA, zdaniem DFS działania te nastąpiły zbyt późno, aby zapobiec naruszeniu. Nakaz zgody określił, że firma złamała przepisy nowojorskiego rozporządzenia o cyberbezpieczeństwie, w tym dotyczące polityk bezpieczeństwa, szkoleń personelu oraz odpowiednich zabezpieczeń uwierzytelniających.Na mocy ugody PayPal zobowiązał się do zapłacenia kary w wysokości 2 milionów dolarów w ciągu dziesięciu dni. Warunki ugody nakładają również na firmę obowiązek przestrzegania nowych standardów bezpieczeństwa, aby zapobiec podobnym incydentom w przyszłości. DFS zaznaczyło, że dalsze działania mogą zostać podjęte, jeśli zostaną wykryte kolejne nieprawidłowości.
