Η Πολιτεία της Νέας Υόρκης ανακοίνωσε διακανονισμό 2.000.000 δολαρίων με την PayPal για χρεώσεις που δεν συμμορφώθηκε με τους κανονισμούς της πολιτείας για την ασφάλεια στον κυβερνοχώρο, οδηγώντας σε παραβίαση δεδομένων το 2022.
Η δράση του Τμήματος Χρηματοοικονομικών Υπηρεσιών (DFS) λέει ότι οι φορείς απειλών εκμεταλλεύτηκαν τα κενά ασφαλείας στα συστήματα του PayPal για να πραγματοποιήσουν επιθέσεις γεμίσματος διαπιστευτηρίων που παρείχαν πρόσβαση σε ευαίσθητες πληροφορίες πελατών.
Το 2023, το PayPal αποκάλυψε ότι οι παράγοντες απειλών πραγματοποίησαν μια μεγάλης κλίμακας επίθεση γεμίσματος διαπιστευτηρίων μεταξύ 6 Δεκεμβρίου και 8 Δεκεμβρίου 2022, όπου παραβιάστηκαν 35.000 λογαριασμοί.
Τα δεδομένα που εκτέθηκαν εκείνη την εποχή περιελάμβαναν πλήρη ονόματα, ημερομηνίες γέννησης, ταχυδρομικές διευθύνσεις, αριθμούς κοινωνικής ασφάλισης και ατομικούς αριθμούς φορολογικού μητρώου.
Η ανακοίνωση του DFS της Νέας Υόρκης ρίχνει περισσότερο φως στην παραβίαση, εξηγώντας ότι ένα από τα κενά ασφαλείας του PayPal ήταν σφάλμα στον τρόπο διανομής των φορολογικών εντύπων 1099-K στην πλατφόρμα.
“Τα δεδομένα πελατών εκτέθηκαν αφού η PayPal εφάρμοσε αλλαγές στις υπάρχουσες ροές δεδομένων για να καταστήσει το Έντυπο IRS 1099-K διαθέσιμο σε περισσότερους από τους πελάτες του.” εξηγεί το DFS.
“Ωστόσο, οι ομάδες που επιφορτίστηκαν με την εφαρμογή αυτών των αλλαγών δεν εκπαιδεύτηκαν στα συστήματα και τις διαδικασίες ανάπτυξης εφαρμογών του PayPal. Ως αποτέλεσμα, δεν ακολούθησαν τις κατάλληλες διαδικασίες πριν οι αλλαγές πραγματοποιηθούν.”
Μετά την εσφαλμένη εφαρμογή, οι εγκληματίες του κυβερνοχώρου που κατέχουν έγκυρα διαπιστευτήρια για λογαριασμούς PayPal μπόρεσαν να αποκτήσουν πρόσβαση σε αυτούς τους λογαριασμούς και τις φόρμες 1099-K τους, οι οποίες αποκάλυψαν πολλές ευαίσθητες πληροφορίες.
Η επιτυχία αυτών των επιθέσεων “γεμίσματος διαπιστευτηρίων” εξαρτιόταν από την έλλειψη προστασίας πολλαπλών παραγόντων ελέγχου ταυτότητας (MFA), η οποία δεν ήταν υποχρεωτική στην πλατφόρμα εκείνη την εποχή.
Αυτό, σε συνδυασμό με τα αδύναμα στοιχεία ελέγχου πρόσβασης που επιτρέπουν αυτοματοποιημένες προσπάθειες σύνδεσης χωρίς CAPTCHA ή περιορισμό ρυθμών, αποτελούσαν βασικές αποτυχίες συμμόρφωσης για το PayPal.
Ο εντολή συγκατάθεσης καθορίζει παραβιάσεις των 23 NYCRR § 500.3, 500.10 και 500.12 του Κανονισμού Κυβερνοασφάλειας της Νέας Υόρκης για αδυναμία εφαρμογής των κατάλληλων πολιτικών κυβερνοασφάλειας, εκπαίδευσης προσωπικού και ελέγχων ελέγχου ταυτότητας.
Παρόλο που το PayPal έλαβε πολλά βήματα αποκατάστασης μετά την ανακάλυψη της παραβίασης, συμπεριλαμβανομένης της απόκρυψης ευαίσθητων δεδομένων σε φόρμες IRS, της εφαρμογής CAPTCHA και του περιορισμού των χρεώσεων και καθιστώντας το MFA υποχρεωτικό για όλους τους λογαριασμούς πελατών των ΗΠΑ, αυτό έγινε πολύ αργά, σύμφωνα με το DFS.
Οι όροι διακανονισμού ορίζουν ότι το PayPal πρέπει να πληρώσει πρόστιμο 2 εκατομμυρίων δολαρίων εντός 10 ημερών, ενώ δεν θα ληφθούν περαιτέρω μέτρα εκτός εάν το DFS της Νέας Υόρκης ανακαλύψει νέες παραβιάσεις.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
