New York Eyaleti, eyaletin siber güvenlik düzenlemelerine uymadığı ve 2022 veri ihlaline yol açan ücretler üzerinden PayPal ile 2.000.000 dolarlık bir anlaşma duyurdu.
Finansal Hizmetler Bakanlığı (DFS) eylemi, tehdit aktörlerinin hassas müşteri bilgilerine erişim sağlayan kimlik bilgisi doldurma saldırıları yapmak için PayPal sistemlerindeki güvenlik boşluklarından yararlandığını söylüyor.
2023'te PayPal, tehdit aktörlerinin 6 Aralık ve 8 Aralık 2022 arasında 35.000 hesabın ihlal edildiği büyük ölçekli bir kimlik bilgileri doldurma saldırısı gerçekleştirdiğini açıkladı.
O sırada ortaya çıkan veriler arasında tam isimler, doğum tarihleri, posta adresleri, sosyal güvenlik numaraları ve bireysel vergi kimlik numaraları vardı.
New York'un DFS duyurusu, PayPal'ın güvenlik turlarından birinin platformda Form 1099-K vergi formlarının nasıl dağıtıldığı konusunda bir hata olduğunu açıklayan ihlallere daha fazla ışık tutuyor.
DFS, "PayPal, IRS Form 1099-KK'ları müşterilerinin daha fazla kullanılabilir hale getirmesi için mevcut veri akışlarında yapılan değişiklikler uygulandıktan sonra müşteri verileri ortaya çıktı."
"Bununla birlikte, bu değişiklikleri uygulamakla görevli ekipler PayPal'ın sistemleri ve uygulama geliştirme süreçleri konusunda eğitilmedi. Sonuç olarak, değişiklikler yayınlanmadan önce uygun prosedürleri takip edemediler."
Hatalı uygulamanın ardından, PayPal hesapları için geçerli kimlik bilgileri tutan siber suçlular, bu hesaplara ve 1099-K formlarına erişebildiler ve bu da çok sayıda hassas bilgi ortaya çıkardı.
Bu "kimlik bilgisi doldurma" saldırılarının başarısı, o sırada platformda zorunlu olmayan çok faktörlü kimlik doğrulama (MFA) korumasının eksikliğine bağlı.
Bu, Captcha veya hız sınırlaması olmadan otomatik giriş girişimlerine izin veren zayıf erişim kontrolleri ile birleştiğinde, PayPal için temel uyum arızaları oluşturdu.
Onay emri, uygun siber güvenlik politikalarının, personel eğitimi ve kimlik doğrulama kontrollerinin uygulanamaması için New York siber güvenlik düzenlemesinin 23 NYCRR § 500.3, 500.10 ve 500.12 ihlallerini belirtir.
PayPal, DFS'ye göre, ihlalin keşfinden sonra, IRS formları ve oran sınırlama uygulamak ve MFA'yı tüm ABD müşteri hesapları için zorunlu hale getirmek de dahil olmak üzere, ihlalin keşfinden sonra birkaç iyileştirme adım atmasına rağmen, DFS'ye göre bu çok geç geldi.
Uzlaşma şartları, PayPal'ın 10 gün içinde 2 milyon dolar para cezası ödemesi gerektiğine karar verirken, New York'un DFS'si yeni ihlalleri keşfetmedikçe başka bir işlem yapılmayacaktır.
İrlanda Fines Meta Meta 2018 Facebook veri ihlali üzerinden 264 milyon dolar
FTC, GM'nin sürücü verilerini toplamayı ve satmayı durdurmasını sipariş ediyor
ABD Yaptırımları Çin firması, telekom ve Hazine Hacks'in arkasında hacker
Çin'e kullanıcı verileri göndermek için Tiktok, Temu'ya karşı açılan GDPR şikayetleri
Wolf Haldenstein hukuk firması, veri ihlalinden 3,5 milyon etkilendiğini söylüyor
Kaynak: Bleeping Computer