PayPal оштрафован на 2 миллиона долларов за нарушения в области кибербезопасности
Министерство финансовых услуг штата Нью-Йорк наложило штраф на PayPal после утечки данных в 2022 году. Ведомство утверждает, что компания не смогла должным образом обучить сотрудников мерам безопасности.
Регулирующие органы Нью-Йорка вынесли штраф в размере 2 миллионов долларов финансовой компании PayPal за нарушения кибербезопасности, которые привели к утечке личной информации десятков тысяч клиентов.
Инцидент, который произошел в декабре 2022 года, компрометировал номера социального страхования, адреса электронной почты и имена пользователей.
Штраф Министерства финансов штата Нью-Йорк (DFS) последовал за расследованием недочетов в практиках кибербезопасности, выявленных до произошедшего инцидента. DFS установил, что PayPal не использовал квалифицированный персонал для управления ключевыми функциями кибербезопасности и не предоставил адекватное обучение для устранения рисков в этой области.
Несоблюдение процедур
Расследование показало, что данные нарушения спровоцировали инцидент 2022 года, когда злоумышленники использовали технику, известную как «credential stuffing», где они вводят на страницы входа множество учетных данных до тех пор, пока одна пара не сработает.
Данные клиентов оказались уязвимыми после того, как PayPal изменил потоки данных для предоставления доступа к форме IRS 1099-k большему количеству клиентов. В процессе внесения изменений команды, ответственные за это, не были должным образом обучены в системах и процессах разработки приложений PayPal.
В результате, DFS пришло к выводу, что сотрудники «не следовали должным процедурам», поскольку изменения внедрялись, что позволило киберпреступниками использовать уязвимые учетные данные для доступа к формам, что привело к компрометации конфиденциальной информации клиентов.
По словам Суперинтенданта Эдриен А. Харрис, «Национально признанное регулирование кибербезопасности в Нью-Йорке устанавливает важные стандарты для защиты данных потребителей и укрепления стойкости финансовых учреждений».
«Квалифицированные специалисты по кибербезопасности являются первой линией защиты от потенциальных утечек данных, и предоставление должного обучения и эффективная реализация политик и процедур кибербезопасности — важные шаги для защиты конфиденциальных данных и уменьшения рисков».
Кроме немедленной угрозы доступа к аккаунтам, утечка личных данных подвергает клиентов риску кражи личных данных.
Источник: TechRadar
