PayPal kažnjen s 2 milijuna dolara zbog propusta u kibernetičkoj sigurnosti
U New Yorku, financijski div PayPal suočava se s teškom kaznom od 2 milijuna dolara zbog propusta u kibernetičkoj sigurnosti koji su izložili osobne identifikacijske podatke (PII) desetaka tisuća kupaca. Ovaj ozbiljan incident dogodio se u prosincu 2022. godine, kada su kompromitirane socijalne sigurnosne brojke, adrese e-pošte i imena korisnika.
Kazna i istraga
Kaznu je izdao Odjel za financijske usluge (DFS) države New York, a dolazi kao rezultat istrage o nedostacima u kibernetičkoj sigurnosti koji su prethodili ovom proboju. DFS je utvrdio da PayPal nije angažirao ‘kvalificirano osoblje’ za upravljanje ključnim funkcijama kibernetičke sigurnosti, niti je osigurao adekvatnu obuku za suočavanje s rizicima. Ovi nedostaci su omogućili proboj 2022. godine, gdje su hakeri koristili tehniku poznatu kao ‘credential stuffing’. Ova metoda uključuje “punjenje” stranica za prijavu s nizom vjerodajnica dok jedna od njih ne uspije.
Povezanost s promjenama podataka
Izloženost podataka kupaca dogodila se nakon što je PayPal izvršio promjene u protoku podataka kako bi omogućio dostupnost obrasca IRS 1099-k više kupcima. U tom procesu, timovi zaduženi za promjene nisu bili adekvatno obučeni u sustavima i procesima razvoja aplikacija PayPala. Kao rezultat toga, DFS je utvrdio da su zaposlenici “propustili slijediti pravilne procedure” dok su provodili ove promjene, što je omogućilo cyber kriminalcima da iskoriste izložene vjerodajnice kako bi pristupili obrascima, čime je kompromitirana osjetljiva korisnička data.
Važnost kibernetičke sigurnosti
Superintendentica Adrienne A. Harris izjavila je: “Regulativa o kibernetičkoj sigurnosti u New Yorku postavlja važan standard za zaštitu podataka potrošača i jačanje otpornosti financijskih institucija.” Naglasila je da su ‘kvalificirani zaposlenici u kibernetičkoj sigurnosti prva linija obrane protiv mogućih proboja podataka’, te da su adekvatan trening i učinkovita implementacija politika ključni koraci u zaštiti osjetljivih podataka i smanjenju rizika.
Rizici za korisnike
Osim neposredne opasnosti od pristupa računima, izloženi osobni podaci predstavljaju rizik od krađe identiteta. Ako sumnjate da ste mogli biti pogođeni ovim probojem, preporučujemo da razmotrite najbolje načine zaštite od krađe identiteta.
Zaključak
Ova situacija s PayPalom služi kao važna lekcija za sve financijske institucije o značaju kibernetičke sigurnosti i važnosti obuke zaposlenika. Zaštita podataka potrošača ne smije biti prepuštena slučaju, a investicije u kvalificirano osoblje i učinkovite procedure obuke ključni su za očuvanje povjerenja korisnika.
