![PayPal оштрафован на $2M за нарушение кибербезопасности, в результате которого были раскрыты данные клиентов](https://ru.wizcase.com/wp-content/uploads/2025/01/Screenshot-2025-01-24-at-14.02.55.webp)
Image by Marques Thomas, from Unsplash
PayPal оштрафован на $2M за нарушение кибербезопасности, в результате которого были раскрыты данные клиентов
PayPal был оштрафован на $2 миллиона Нью-Йоркским отделом финансовых услуг (DFS) за нарушения в области кибербезопасности, которые привели к раскрытию номеров социального обеспечения клиентов в конце 2022 года, как впервые сообщила Reuters.
Спешите? Вот краткие факты!
- Киберпреступники использовали метод «credential stuffing» для получения доступа к конфиденциальным данным клиентов PayPal.
- PayPal не внедрил многофакторную аутентификацию и CAPTCHA во время нарушения.
- Теперь компания обязывает использовать многофакторную аутентификацию и сброс паролей для американских аккаунтов
Нарушение, продолжавшееся примерно семь недель, привело к уязвимости чувствительных данных, включая имена, даты рождения и номера социального страхования, для киберпреступников, объявило DFS в четверг.
Адрианна Харрис, глава департамента финансовых услуг Нью-Йорка, раскрыла, что у PayPal не хватает квалифицированных специалистов для контроля критически важных операций в области кибербезопасности и не предоставляется достаточное обучение для снижения рисков. Эти недостатки облегчили задачу злоумышленникам по эксплуатации системы, отметило Reuters.
Проблема вышла на свет 6 декабря 2022 года, когда аналитик в области безопасности обнаружил в интернете сообщение, упоминающее уязвимость, помеченную как «PP EXPLOIT TO GET SSN». На следующий день команда кибербезопасности PayPal заметила всплеск неавторизованных попыток доступа к своей платформе, сообщило Reuters.
Расследования показали, что злоумышленники использовали технику «credential stuffing» для просмотра федеральных налоговых форм десятков тысяч клиентов, сообщает Reuters.
Нарушение произошло после того, как PayPal изменил конфигурации передачи данных для расширения доступа к этим формам, случайно раскрыв чувствительную информацию. Харрис также критиковал PayPal за отсутствие основных мер безопасности, таких как многофакторная аутентификация и CAPTCHA для предотвращения несанкционированного доступа, как сообщает Reuters.
В заявлении, как сообщает Reuters, PayPal признала проведение расследования и подтвердила свою приверженность защите информации пользователей. «Защита личной информации потребителей и поддержание безопасной платформы является нашим главным приоритетом», — заявила компания.
После нарушения безопасности, PayPal ввела многофакторную аутентификацию для всех клиентских аккаунтов в США, обязала повлиявших пользователей сбросить пароли и добавила CAPTCHA для повышения уровня защиты, отметил Reuters.
Штраф в размере $2 миллионов связан с нарушениями регулирования в области кибербезопасности в Нью-Йорке, которое было учреждено в 2017 году для усиления защиты финансовых услуг, сообщает Reuters.
Оставьте комментарий
Отменить