Niujorko valstija paskelbė apie 2 000 000 USD atsiskaitymą su „PayPal“ dėl mokesčių, kurių ši nesilaikė valstijos kibernetinio saugumo taisyklių, todėl 2022 m. įvyko duomenų pažeidimas.
Finansinių paslaugų departamento (DFS) veiksmai teigia, kad grėsmės veikėjai pasinaudojo „PayPal“ sistemų saugumo spragomis, kad įvykdytų kredencialų užpildymo atakas, kurios suteikė prieigą prie jautrios klientų informacijos.
2023 m. „PayPal“ atskleidė, kad grėsmės veikėjai 2022 m. gruodžio 6 d.–gruodžio 8 d. surengė didelio masto kredencialų užpildymo ataką, per kurią buvo pažeista 35 000 paskyrų.
Tuo metu buvo pateikti vardai, pavardės, gimimo datos, pašto adresai, socialinio draudimo numeriai ir asmens mokesčių mokėtojo kodai.
Niujorko DFS pranešimas atskleidžia daugiau informacijos apie pažeidimą, paaiškindamas, kad viena iš „PayPal“ saugumo pažeidimų buvo klaida, kai platformoje buvo platinamos 1099-K formos mokesčių formos.
„Klientų duomenys buvo atskleisti po to, kai PayPal įgyvendino esamų duomenų srautų pakeitimus, kad IRS forma 1099-Ks būtų prieinama daugiau klientų“, – aiškina DFS.
„Tačiau komandos, kurioms pavesta įgyvendinti šiuos pakeitimus, nebuvo apmokytos „PayPal” sistemų ir programų kūrimo procesų. Dėl to jos nesilaikė tinkamų procedūrų prieš pradedant pakeitimus.”
Po netinkamo diegimo kibernetiniai nusikaltėliai, turintys galiojančius PayPal paskyrų kredencialus, galėjo pasiekti tas paskyras ir jų 1099-K formas, kurios atskleidė daug neskelbtinos informacijos.
Šių „kredencialų užpildymo“ atakų sėkmė priklausė nuo kelių faktorių autentifikavimo (MFA) apsaugos, kuri tuo metu platformoje nebuvo privaloma, trūkumo.
Tai kartu su silpna prieigos kontrole, leidžiančia automatiškai bandyti prisijungti be CAPTCHA ar greičio ribojimo, buvo pagrindinės PayPal atitikties nesėkmės.
Sutikimo įsakyme nurodomi Niujorko kibernetinio saugumo reglamento 23 NYCRR § 500.3, 500.10 ir 500.12 pažeidimai dėl netinkamos kibernetinio saugumo politikos, personalo mokymo ir autentifikavimo kontrolės neįgyvendinimo.
Nors „PayPal“ ėmėsi kelių ištaisymo veiksmų, kai buvo aptiktas pažeidimas, įskaitant slaptų duomenų maskavimą IRS formose, CAPTCHA įdiegimą ir tarifų ribojimą bei MFA įvedimą į privalomą visoms JAV klientų paskyroms, pasak DFS, tai buvo padaryta per vėlai.
Atsiskaitymo sąlygos įpareigoja „PayPal“ per 10 dienų sumokėti 2 mln. USD baudą, o tolesnių veiksmų nebus imtasi, nebent Niujorko DFS aptiktų naujų pažeidimų.