PayPal, Müşteri Verilerini Açığa Çıkaran Siber Güvenlik İhlali Nedeniyle 2 Milyon Dolar Cezaya Çarptırıldı

PayPal, New York Finansal Hizmetler Departmanı (DFS) tarafından 2022 sonunda müşterilerin Sosyal Güvenlik numaralarının ifşa olmasına yol açan siber güvenlik aksaklıkları nedeniyle 2 milyon dolar para cezasına çarptırıldı, ilk olarak Reuters tarafından bildirildi.

Yaklaşık yedi hafta süren bu ihlal, isimler, doğum tarihleri ve Sosyal Güvenlik numaraları gibi hassas verileri siber suçlulara karşı savunmasız bıraktı, Perşembe günü DFS duyurdu.

Adrienne Harris, New York’un finansal hizmetler müdürü, PayPal’ın kritik siber güvenlik operasyonlarını denetlemek için nitelikli personelden yoksun olduğunu ve riskleri hafifletmek için yeterli eğitim sağlamadığını açıkladı. Reuters’a göre, bu eksiklikler saldırganların sistemi sömürmesini kolaylaştırdı.

Sorun, 6 Aralık 2022’de bir güvenlik analisti, “PP EXPLOIT TO GET SSN” olarak etiketlenmiş bir açıklığa atıfta bulunan bir online mesaj keşfettiğinde ortaya çıktı. Ertesi gün, PayPal’ın siber güvenlik ekibi, platformunda izinsiz erişim girişimlerinde bir artış tespit etti, Reuters dedi.

Araştırmalar, saldırganların on binlerce müşterinin federal vergi formlarını görüntülemek için “kimlik bilgisi doldurma” tekniklerini kullandığını gösterdi, Reuters belirtti.

Bu ihlal, PayPal’ın bu formlara erişimi genişletmek için veri akışı konfigürasyonlarını değiştirdikten sonra meydana geldi ve bu da hassas bilgileri istemeden açığa çıkardı. Harris ayrıca, yetkisiz erişimi caydırmak için çok faktörlü kimlik doğrulama ve CAPTCHA gibi temel güvenlik önlemlerini uygulamada PayPal’ın başarısız olduğunu eleştirdi, Reuters tarafından bildirildiği gibi.

Bir açıklamada, Reuters, PayPal’ın soruşturmayı kabul ettiğini ve kullanıcı bilgilerini koruma taahhüdünü yeniden doğruladığını bildirdi. Şirket, “Tüketicilerin kişisel bilgilerini korumak ve güvenli bir platformu sürdürmek en öncelikli görevimizdir” dedi.

İhlalden bu yana, PayPal’ın tüm ABD müşteri hesapları için çok faktörlü kimlik doğrulama uygulamaya koyduğu, etkilenen kullanıcılar için şifre sıfırlamaları zorunlu kıldığı ve güvenliği artırmak için CAPTCHA eklediği Reuters tarafından belirtildi.

2 milyon dolarlık ceza, finansal hizmetlerin korunmasını artırmak amacıyla 2017’de kurulan New York’un siber güvenlik düzenlemelerinin ihlallerine bağlıdır, Reuters bildiriyor.