Ņujorkas štata Finanšu pakalpojumu departaments (DFS) beidzot ir licis PayPal samaksāt 2 miljonus dolāru par trīs gadus ilgušu datu pārkāpumu. 2023. gada 18. janvārī PayPal paziņoja, ka cieta milzīgs datu pārkāpums, kas lika kibernoziedzniekiem piekļūt klientu sensitīvajai personas informācijai.
PayPal ir jāmaksā 2 miljonu dolāru izlīgums par datu pārkāpumu no 2022. gada
Piekrišanas rīkojumā, kas datēts ar 2025. gada 23. janvāri, ir minēti notikumi, kas saistīti ar šo datu pārkāpumu. Saskaņā ar dokumentu drošības analītiķis brīdināja PayPal par tiešsaistes ziņojumu “PP EXPLOIT, LAI IEGŪTU SSN” 2022. gada 6. decembrī. Ziņojumam pievienotais URL novirzīja lietotājus uz PayPal vietni, lai pārbaudītu savus sociālās apdrošināšanas numurus (SSN).
Tajā pašā dienā PayPal pamanīja, ka veidlapā 1099-Ks, kas pieejama PayPal vietnē, bija atmaskota informācija par klientiem. Tas ietvēra tādu informāciju kā vārdi, dzimšanas datums un pilni SSN. Kibernoziedznieki varēja piekļūt šai informācijai apmēram septiņas nedēļas, atzīmēja Adrienne A. Harris, finanšu pakalpojumu superintendente.
Nākamajā dienā, 7. decembrī, PayPal kiberdrošības komanda pamanīja, ka pieaug mēģinājumi piekļūt viņu vietnei, izmantojot akreditācijas datu pildījumu. Motīvs bija “lai piekļūtu NPI, kas pieejams atmaskotajā veidlapā 1099-Ks.” DFS secināja, ka PayPal nespēja izmantot kvalificētus darbiniekus, lai veiktu galvenās kiberdrošības funkcijas vai pienācīgi apmācītu savus darbiniekus.
Izmeklēšanas iestāde arī konstatēja, ka PayPal iepriekšējā prakse neprasīja daudzfaktoru autentifikāciju (MFA) vai CAPTCHA, lai novērstu nesankcionētu piekļuvi. Ir vērts atzīmēt, ka PayPal saņēma naudas sodu 2 miljonu ASV dolāru apmērā par DFS kiberdrošības regulas pārkāpšanu, kas ieviesta 2017. gadā.
PayPal būs arī jānodrošina, ka visi ASV klienti pieteikšanās vajadzībām izmanto MFA
Turklāt piekrišanas rīkojumā visiem PayPal lietotājiem ASV ir jāizmanto daudzfaktoru autentifikācija (MFA) konta pieteikšanās reizei. Tā kā tehnoloģija katru dienu kļūst labāka, kibernoziedznieki attīsta savus trikus, lai pārkāptu sistēmas. Tātad, ja vēlaties novērst nesankcionētu piekļuvi saviem tiešsaistes kontiem, vislabāk ir iestatīt vairāku faktoru autentifikāciju.
