Щатът Ню Йорк обяви споразумение за 2 000 000 долара с PayPal във връзка с обвинения, че не е спазил разпоредбите за киберсигурност на щата, което е довело до нарушаване на сигурността на данните през 2022 г.

В исковата молба на Министерството на финансовите услуги (DFS) се казва, че участниците в заплахите са се възползвали от пропуските в сигурността на системите на PayPal, за да извършат атаки за попълване на идентификационни данни, които са осигурили достъп до чувствителна информация за клиентите.

През 2023 г. PayPal разкрива, че между 6 и 8 декември 2022 г. извършителите на заплахите са провели мащабна атака за попълване на идентификационни данни (credentials stuffing), при която са били нарушени 35 000 акаунта.

Изложените тогава данни са включвали пълни имена, дати на раждане, пощенски адреси, номера на социални осигуровки и индивидуални данъчни идентификационни номера.

Съобщението на DFS на Ню Йорк хвърля повече светлина върху нарушението, като обяснява, че един от пропуските в сигурността на PayPal е бил грешка в начина, по който данъчните формуляри 1099-K са били разпространявани в платформата.

„Данните на клиентите са били изложени на риск, след като PayPal е въвела промени в съществуващите потоци от данни, за да направи формулярите 1099-K на IRS достъпни за повече свои клиенти“, обяснява DFS.

„Екипите, натоварени с въвеждането на тези промени, обаче не бяха обучени за системите и процесите на разработване на приложения на PayPal. В резултат на това те не успяха да спазят правилните процедури, преди промените да бъдат пуснати в действие.“

Вследствие на погрешното внедряване киберпрестъпниците, притежаващи валидни идентификационни данни за акаунти в PayPal, успяха да получат достъп до тези акаунти и до техните формуляри 1099-K, което разкри много чувствителна информация.

Успехът на тези атаки от типа „credential stuffing“ зависеше от липсата на защита от многофакторна автентификация (MFA), която по това време не беше задължителна за платформата.

Това, съчетано със слабия контрол на достъпа, позволяващ автоматизирани опити за влизане без CAPTCHA или ограничаване на скоростта, представляваше ключов пропуск в спазването на изискванията за PayPal.

В заповедта за съгласие се посочват нарушения на 23 NYCRR § 500.3, 500.10 и 500.12 от Регламента за киберсигурност на Ню Йорк за неприлагане на подходящи политики за киберсигурност, обучение на персонала и контрол на удостоверяването.

Въпреки че след откриването на нарушението PayPal предприе няколко коригиращи стъпки, включително маскиране на чувствителни данни във формулярите на IRS, въвеждане на CAPTCHA и ограничаване на скоростта и въвеждане на задължително MFA за всички клиентски сметки в САЩ, според DFS това е станало твърде късно.

Съгласно условията на споразумението PayPal трябва да плати глоба в размер на 2 млн. долара в срок от 10 дни, като няма да бъдат предприемани допълнителни действия, освен ако DFS на Ню Йорк не открие нови нарушения.