O estado de Nova York anunciou um acordo de US$ 2.000.000 com o PayPal por acusações de não cumprimento das regulamentações de cibersegurança do estado, o que levou a uma violação de dados em 2022.
A ação do Departamento de Serviços Financeiros (DFS) afirma que atores de ameaças aproveitaram lacunas de segurança nos sistemas do PayPal para realizar ataques de credential stuffing, que proporcionaram acesso a informações sensíveis de clientes.
Em 2023, o PayPal divulgou que atores de ameaças realizaram um ataque de credential stuffing em grande escala entre 6 e 8 de dezembro de 2022, onde 35.000 contas foram violadas.
Os dados expostos na época incluíam nomes completos, datas de nascimento, endereços postais, números do seguro social e números de identificação fiscal individuais.
O anúncio do DFS de Nova York esclarece mais sobre a violação, explicando que uma das falhas de segurança do PayPal foi um erro na maneira como os formulários de imposto Form 1099-K foram distribuídos na plataforma.
"Os dados dos clientes foram expostos após o PayPal implementar mudanças nos fluxos de dados existentes para disponibilizar os formulários IRS Form 1099-Ks a mais de seus clientes", explica o DFS.
"No entanto, as equipes encarregadas de implementar essas mudanças não foram treinadas nos sistemas e processos de desenvolvimento de aplicativos do PayPal.
Como resultado, eles não seguiram os procedimentos adequados antes das mudanças entrarem em vigor."
Após a implementação defeituosa, cibercriminosos, detendo credenciais válidas para contas do PayPal, puderam acessar essas contas e seus formulários 1099-K, que revelaram muitas informações sensíveis.
O sucesso desses ataques de "credential stuffing" dependeu da falta de proteção de autenticação multifator (MFA), que não era obrigatória na plataforma na época.
Isso, combinado com controles de acesso fracos que permitiam tentativas de login automatizadas sem CAPTCHA ou limitação de taxa, constituiu falhas de conformidade chave para o PayPal.
A ordem de consentimento especifica violações de 23 NYCRR § 500.3, 500.10 e 500.12 da Regulação de Cibersegurança de Nova York por falha em implementar políticas de cibersegurança adequadas, treinamento de pessoal e controles de autenticação.
Embora o PayPal tenha tomado várias medidas de remediação após a descoberta da violação, incluindo mascaramento de dados sensíveis em formulários da IRS, implementação de CAPTCHA e limitação de taxa, e tornando o MFA obrigatório para todas as contas de clientes dos EUA, isso veio tarde demais, de acordo com o DFS.
Os termos do acordo determinam que o PayPal deve pagar uma multa de US$ 2 milhões em até 10 dias, enquanto nenhuma ação adicional será tomada a menos que o DFS de Nova York descubra novas violações.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...