Штат Нью-Йорк постановил, что PayPal выплатит штраф в размере 2 миллионов долларов за несоблюдение требований кибербезопасности, что привело к утечке данных в 2022 году.
Согласно заявлению Департамента финансовых услуг (DFS), хакеры воспользовались уязвимостями в системах компании для проведения атак с использованием подмены учетных данных. Это позволило им получить доступ к конфиденциальной информации клиентов.
В январе 2023 года PayPal сообщила, что в период с 6 по 8 декабря 2022 года злоумышленники атаковали 35 000 учетных записей, используя данные для входа. В результате утечки были раскрыты полные имена, даты рождения, почтовые адреса, номера социального страхования и идентификационные налоговые номера.
DFS указал, что одной из причин утечки стала ошибка при изменении системы распространения налоговых форм 1099-K. Эти изменения были внесены для того, чтобы сделать доступ к формам более удобным для пользователей. Однако сотрудники, реализовавшие изменения, не имели достаточной квалификации в работе с системами PayPal, что привело к нарушению процедур безопасности.
В результате этих ошибок злоумышленники, обладавшие действительными учетными данными, смогли получить доступ к налоговым формам 1099-K, содержащим конфиденциальные данные. Атаки стали возможны из-за отсутствия многофакторной аутентификации (MFA) и слабого контроля доступа. На момент инцидента платформа позволяла проводить автоматические попытки входа в систему без использования CAPTCHA или ограничений на скорость запросов.
Согласно условиям соглашения, PayPal обязана выплатить штраф в размере 2 миллионов долларов в течение 10 дней. При этом дополнительные меры DFS будут приняты только в случае выявления новых нарушений.
PayPal заплатил хакерам $1млн в рамках сотрудничества с HackerOne
