PayPal Multata di $2M per Violazione della Cybersecurity che Espone i Dati dei Clienti

PayPal è stata multata di 2 milioni di dollari dal Dipartimento dei Servizi Finanziari di New York (DFS) per carenze nella sicurezza informatica che hanno portato alla divulgazione dei numeri di previdenza sociale dei clienti alla fine del 2022, come riportato per la prima volta da Reuters.

La violazione, durata circa sette settimane, ha lasciato dati sensibili come nomi, date di nascita e numeri di previdenza sociale vulnerabili ai cybercriminali, ha annunciato giovedì la DFS.

Adrienne Harris, sovrintendente dei servizi finanziari di New York, ha rivelato che PayPal non disponeva di personale qualificato per supervisionare le critiche operazioni di cybersecurity e non ha fornito una formazione adeguata per mitigare i rischi. Queste carenze hanno reso più facile per gli aggressori sfruttare il sistema, ha osservato Reuters.

Il problema è emerso il 6 dicembre 2022, quando un analista della sicurezza ha scoperto un messaggio online che faceva riferimento a una vulnerabilità, etichettata come “PP EXPLOIT TO GET SSN”. Il giorno successivo, il team di cybersecurity di PayPal ha rilevato un aumento negli tentativi di accesso non autorizzati sulla sua piattaforma, ha detto Reuters.

Le indagini hanno rivelato che gli aggressori stavano utilizzando tecniche di “credential stuffing” per visualizzare i moduli fiscali federali appartenenti a decine di migliaia di clienti, ha riferito Reuters.

La violazione è avvenuta dopo che PayPal ha modificato le configurazioni del flusso di dati per espandere l’accesso a questi moduli, esponendo involontariamente informazioni sensibili. Harris ha anche criticato PayPal per non aver implementato misure di sicurezza di base come l’autenticazione multifattore e CAPTCHA per scoraggiare l’accesso non autorizzato, come riportato da Reuters.

In una dichiarazione, Reuters riporta che PayPal ha riconosciuto l’indagine e ribadito il suo impegno a tutelare le informazioni degli utenti. “Proteggere le informazioni personali dei consumatori e mantenere una piattaforma sicura è una priorità assoluta,” ha affermato l’azienda.

Dopo la violazione, PayPal ha implementato l’autenticazione multifattore per tutti gli account dei clienti statunitensi, obbligato il reset delle password per gli utenti interessati e aggiunto il CAPTCHA per potenziare la sicurezza, ha notato Reuters.

La multa di $2 milioni è legata alle violazioni del regolamento sulla sicurezza informatica di New York, che è stato istituito nel 2017 per migliorare le protezioni per i servizi finanziari, riporta Reuters.