Vienai svarbiausių mokėjimų rinkos dalyvių „PayPal“ ką tik buvo skirta bauda. Priežastis – aplaidumas, dėl kurio nutekėjo klientų duomenys.
Niujorko finansinių paslaugų departamentas (NYDFS) „PayPal“, pasaulinę skaitmeninių mokėjimų sektoriaus milžinę, nubaudė 2 mln. dolerių bauda už didelį aplaidumą saugant vartotojų asmens duomenis. Incidentas įvyko 2022 m. pabaigoje, kai tokie duomenys, kaip nacionalinio draudimo numeriai, gimimo datos ir bendrovės klientų vardai ir pavardės, tapo lengvai prieinami kibernetiniams nusikaltėliams.
PayPal po padidinamuoju stiklu. Tyrimas atskleidžia pažeidimus
Tyrimas atskleidė, kad „PayPal“ neturėjo pakankamai kvalifikuotų darbuotojų, atsakingų už pagrindines kibernetinio saugumo funkcijas, ir nesurengė tinkamų rizikos valdymo mokymų. Dėl šio aplaidumo įsilaužėliai galėjo pasinaudoti vadinamosiomis „credential stuffing“ atakomis, kurių metu bandoma pasinaudoti pavogtais prisijungimo duomenimis ir gauti prieigą prie „PayPal“ platformos.
Problema buvo aptikta 2022 m. gruodžio 6 d., kai saugumo analitikas pastebėjo padažnėjusius bandymus prisijungti prie platformos ir internete pasirodžiusią žinutę su instrukcijomis, kaip pasinaudoti pažeidžiamumu. Paaiškėjo, kad duomenų srauto pakeitimai, kuriuos „PayPal“ atliko siekdama suteikti galimybę naudotis daugiau mokesčių formų, nebuvo tinkamai apsaugoti, todėl kibernetiniai nusikaltėliai galėjo pasiekti jautrią klientų informaciją.
PayPal pripažino savo klaidas ir visapusiškai bendradarbiavo su priežiūros institucijomis. Bendrovė paskelbė pareiškimą, kuriame pabrėžė, kad naudotojų duomenų apsauga yra jos svarbiausias prioritetas. Vykdydama taisomuosius veiksmus, ji įdiegė dviejų etapų patikrą visiems naudotojams JAV, taip pat privertė pakeisti esamus pažeistų paskyrų slaptažodžius ir įdiegė papildomus saugumo mechanizmus, pavyzdžiui, CAPTCHA, kad sumažintų botų poveikį savo saugumui.
Šaltinis: antyweb.pl
Parašyti komentarą