PayPal (PYPL.O), platiće 2 miliona dolara građanske kazne zbog propusta u sajber bezbjednosti koji su doveli do otkrivanja brojeva socijalnog osiguranja klijenata krajem 2022. godine, saopštilo je Ministarstvo za finansijske usluge države New York.
Adrienne Harris, nadzornica finansijskih službi u New Yorku, rekla je da je istraga njene kancelarije otkrila da PayPal nije iskoristio kvalifikovano osoblje za upravljanje ključnim funkcijama sajber sigurnosti ili obezbijedio adekvatnu obuku za rješavanje sajber-sigurnosnih rizika.
To je ostavilo imena, datume rođenja i brojeve socijalnog osiguranja klijenata kompanije za digitalna plaćanja iz San Hozea u Kaliforniji lako dostupnim sajber-kriminalcima tokom sedam sedmica, rekla je ona.
PayPal je sarađivao sa istragom. “Zaštita ličnih podataka potrošača i održavanje sigurne platforme za nas je glavni prioritet i ozbiljno shvatamo naše regulatorne odgovornosti”, navodi se u saopštenju kompanije.
Prema nalogu za pristanak, PayPal je otkrio problem nakon što je sigurnosni analitičar 6. decembra 2022. godine pročitao online poruku u kojoj je pisalo “PP EXPLOIT TO DET SSN.”
Sljedećeg dana, PayPalov tim za cyber bezbjednost uočio je porast u pokušajima da pristupi njegovoj online platformi i utvrdio je da sajber kriminalci koriste “popunjavanje kredencijala” za pregled federalnih poreskih obrazaca za desetine hiljada klijenata.
Podaci su otkriveni nakon što je PayPal unio izmjene u postojeće tokove podataka kako bi formulare mogli učiniti dostupnima većem broju kupaca.
Harris je takođe krivio PayPal što ne zahtijeva od kupaca da koriste multifaktorsku autentifikaciju ili kontrole kao što je CAPTCHA kako bi spriječio neovlašćeni pristup.
Kazna je izrečena zbog kršenja uredbe o sajber bezbjednosti odjela za finansijske usluge, usvojene 2017. godine.
PayPal sada zahtijeva multifaktorsku autentifikaciju na svim korisničkim računima u SAD-u, prisilno resetiranje lozinke na pogođenim računima i implementirao je CAPTCHA, navodi se u nalogu za pristanak.
Izvor: Reuters
