Společnosti PayPal byla udělena pokuta 2 miliony dolarů od newyorského finančního regulátora, Department of Financial Services (DFS). Je to kvůli problémům s kybernetickou bezpečností, které vedly k úniku dat v prosinci 2022.
Ohrožení údajů zákazníků
Toto porušení ohrozilo osobní údaje mnoha zákazníků, včetně jejich rodných čísel, e-mailových adres a jmen. Vyšetřování DFS zjistilo velké problémy s metodami kybernetické bezpečnosti PayPal. Společnost nenajala kvalifikované lidi na důležité role v oblasti kybernetické bezpečnosti a neposkytla dostatečné školení, které by pomohlo snížit rizika kybernetické bezpečnosti. Tyto problémy přímo souvisely s narušením bezpečnosti.
Je pravda, že to není obecně chyba společnosti, kdykoli je hacknuta. Pokud se však společnost nezajistí, aby byla v bezpečí, vystavuje své uživatele riziku. Narušení zabezpečení využilo slabé stránky, která byla představena, když byly provedeny změny ke zlepšení přístupu zákazníků k formuláři IRS 1099-Ks. Týmy provádějící tyto změny neměly dostatečné školení o systémech PayPal a vývoji aplikací, což vedlo k chybám.
V důsledku toho hackeři použili metodu zvanou credential stuffing, kdy zkoušeli mnoho přihlašovacích údajů, dokud nenašli ten, který fungoval pro získání přístupu. Jakmile získali odcizené přihlašovací údaje, mohli získat přístup k formulářům, které obsahovaly soukromé informace o zákaznících.
DFS zjistilo, že zabezpečení PayPalu nebylo dostatečně silné, což umožnilo útok nacpaný přihlašovacími údaji. Vyšetřování také odhalilo, že PayPal neměl písemná pravidla pro správu přístupu, manipulaci s identitami nebo ochranu zákaznických dat. PayPal navíc neměl účinná opatření k zastavení neoprávněného přístupu, jako je vícefaktorové ověřování, CAPTCHA nebo omezení počtu pokusů o přihlášení.
Pokuta 2 miliony dolarů není pro tak velkou společnost mnoho, ale účinnějším trestem je, že veřejnost vidí, jak nebezpečný byl PayPal. Ukazuje, jak vážné byly problémy společnosti s kybernetickou bezpečností. PayPal zjevně opravil zjištěné problémy a zlepšil své postupy v oblasti kybernetické bezpečnosti. Tyto změny mají zabránit, aby se podobné problémy opakovaly.
