انتشار شده در تاریخ 1403/11/06 - 07:16

جریمه 2 میلیون دلاری پی‌پال در پی نقض اطلاعات مشتریان

پی‌پال مبلغ 2 میلیون دلار به دلیل نقض اطلاعات مربوط به 35 هزار شماره امنیت اجتماعی جریمه شد.

به گزارش کارگروه امنیت سایبربان؛ رگولاتورهای ایالتی نیویورک اعلام کردند که غول پرداخت دیجیتال پی‌پال (PayPal) پس از یک حادثه امنیت سایبری در دسامبر 2022 که هزاران شماره امنیت اجتماعی را فاش کرد، 2 میلیون دلار جریمه پرداخت خواهد کرد.

آدرین هریس (Adrienne Harris)، سرپرست دپارتمان خدمات مالی ایالت نیویورک (DFS) گفت:

«این جریمه مربوط به نقض مقررات امنیت سایبری مالی نیویورک است که شرکت‌هایی مانند پی‌پال را موظف می‌کند از پرسنل واجد شرایط برای مدیریت عملکردهای کلیدی امنیت سایبری استفاده کنند و آموزش کافی کارکنان برای مقابله با خطرات سایبری را برطرف می‌کند. کارکنان واجد شرایط امنیت سایبری اولین خط دفاعی در برابر نقض احتمالی داده‌ها هستند و ارائه آموزش‌های مناسب و اجرای مؤثر سیاست‌ها و رویه‌های امنیت سایبری گام‌های حیاتی برای حفاظت از داده‌های حساس و کاهش خطرات به شمار می‌رود.»

در ماه ژانویه سال 2023، پس از حمله 6 دسامبر هکرها و دسترسی به نام‌ها، آدرس‌ها، شماره‌های تأمین اجتماعی، شماره شناسایی مالیاتی فردی و تاریخ تولد، این شرکت نامه‌های اعلان نقض را برای نزدیک به 35 هزار مشتری ارسال کرد.

دپارتمان خدمات مالی ایالت نیویورک در بیانیه‌ای اظهار داشت که یک تحلیلگر امنیتی پی‌پال در آن زمان پیامی را شناسایی کرد که به صورت آنلاین با مضمون «PP EXPLOIT TO GET SSN» ارسال شده بود و شامل دستورالعمل‌هایی برای دنبال کردن پیوندی به وب‌سایت پی‌پال برای مشاهده شماره‌های تأمین اجتماعی مشتریان بود.

این شرکت بعداً متوجه شد که اسناد مالیاتی در پلتفرم آنلاین پی‌پال حاوی اطلاعات مصرف کننده قابل مشاهده است. این آسیب‌پذیری به دلیل تغییراتی بود که پلتفرم باید در پاسخ به قانون طرح نجات آمریکا در سال 2022 انجام می‌داد.

به گفته کارشناسان، در 7 دسامبر 2022، یک روز پس از مشاهده پیام آنلاین توسط تحلیلگر امنیتی پی‌پال، تیم امنیت سایبری شرکت متوجه افزایش تلاش‌ها برای دسترسی به پلتفرم آنلاین پی‌پال شد و به این نتیجه رسید که عوامل تهدید از اعتبارنامه‌ها برای دسترسی به اطلاعات مشتری سوءاستفاده می‌کنند.

تیم پی‌پال به سرعت به‌روزرسانی‌هایی را انجام داد و این مشکل را حل کرد، اما یک بررسی نشان داد که تغییرات اولیه به دلیل یک خطای اداری از طریق آنچه شرکت «فرایند شناسایی ریسک و کنترل» می‌نامد، انجام نشده است.

پی‌پال موافقت کرد که جریمه 2 میلیون دلاری را که تحت پوشش بیمه سایبری نیست، ظرف 10 روز پس از انتشار دستور رضایت پرداخت کند.

دپارتمان خدمات مالی ایالت نیویورک از پی‌پال به دلیل صریح بودن در مورد این حادثه در طول بررسی خود و ایجاد تغییرات مشخص، از جمله اجباری شدن احراز هویت چندعاملی برای ورود به حساب‌های مشتری ایالات متحده و به‌روزرسانی قوانین عملیاتی داخلی، قدردانی کرد.

با وجود تلاش‌های مجریان قانون برای جلوگیری از افشای جزئیات ورود به سیستم، چندین فروم وب تاریک وجود دارد که در آنها هزاران اعتبار پی‌پال فروخته می‌شود.

به 34942 نفری که تحت تأثیر نقض دسامبر 2022 قرار گرفتند، 2 سال خدمات رایگان از «Equifax» داده شد که شامل نظارت بر اعتبار، هشدارهای کلاهبرداری و بازیابی هویت می‌شود.