Регулирующие органы штата Нью-Йорк оштрафовали платёжную систему PayPal на $2 млн после того, как расследование Департамента финансовых услуг Нью-Йорка (DFS) выявило серьёзные нарушения безопасности, которые привели к раскрытию личных данных клиентов компании.
Злоумышленники получили доступ к такой пользовательской информации, как номера телефонов, адреса электронной почты, физические адреса и номера социального страхования.
Проблема возникла, когда PayPal внесла изменения в обработку некоторых данных клиентов, связанных с формой IRS1099-K, которую используют для налоговой отчётности. Специалисты компании не прошли необходимое обучение системам и процессам, связанным с внесением этих изменений, что повлекло ошибки и раскрытие личных данных пользователей злоумышленниками, отметили в департаменте.
Расследование DFS показало, что у PayPal не было строгих политик контроля за тем, кто мог получить доступ к конфиденциальной информации. Все эти проблемы возникли из-за нарушений компанией правил кибербезопасности штата, которые призваны защитить потребителей от утечек данных и подобных атак.
В середине января журнал Forbes писал о технике атак на клиентов PayPal, которая позволяла злоумышленникам получить доступ к счетам жертв. Пользователи получали платёжные запросы напрямую через платформу PayPal. Для подобной деятельности хакеры использовали уязвимости в инфраструктуре платёжной системы, чтобы смешивать мошеннические запросы с реальными.
После публикации этой информации PayPal сбросила пароли пострадавших пользователей и рекомендовала им использовать двухфакторную аутентификацию в качестве дополнительного уровня безопасности.
Источник новости: habr.com
