This post is also available in:
English (אנגלית)
חברת התשלומים הפופולארית PayPal הסכימה לשלם קנס של 2 מיליון דולר למחלקת השירותים הפיננסיים של מדינת ניו יורק לאחר שחקירה חשפה פגמים חמורים באבטחת סייבר שהובילו לחשיפה של מספרי תעודת הזהות (social security numbers) של לקוחותיה. על פי דיווח של רויטרס, הבעיה נבעה מכישלונה של פייפאל להשתמש בבקרות אבטחה נאותות, מה שאפשר לעברייני הסייבר לגשת למידע אישי רגיש.
על פי ה-DFS, הרשלנות של PayPal בניהול תשתית אבטחת הסייבר שלה אפשרה חשיפה של שמות הלקוחות, תאריכי הלידה ומספרי תעודת הזהות שלהם למשך כמעט שבעה שבועות. הפריצה התגלתה בעקבות דיווח ב-6 בדצמבר 2022, כאשר אנליסט אבטחה ראה הודעה מקוונת המתייחסת לפגיעות הקשורה למספרי תעודת זהות. לאחר מכן, צוות אבטחת הסייבר של PayPal הבחין בעלייה חריגה בניסיונות גישה, מה שהוביל אותם לקבוע כי עברייני הסייבר משתמשים בהתקפות "credential stuffing" כדי לקבל גישה לא מורשית לפרטים אישיים.
החקירה מצאה גם כי PayPal לא השתמשה בעובדים מוסמכים עבור תפקידי מפתח בתחום אבטחת הסייבר, וגם לא סיפקה הכשרה מספקת כדי לטפל בסיכונים הקשורים לחולשות אלה. בנוסף, העובדה שפייפאל לא דרשו אימות רב-גורמי או יישום אמצעי הגנה אחרים כמו CAPTCHA, הותירה את החשבונות פגיעים יותר להתקפה.
בתגובה לממצאים, החברה נקטה מאז פעולות מתקנות, כולל הטמעת אימות רב-גורמי חובה לכל החשבונות בארה"ב, כפיית איפוס סיסמאות עבור משתמשים שהושפעו מהתקיפה, ושימוש ב-CAPTCHA כשכבת הגנה נוספת. למרות מאמצים אלה, הקנס מדגיש את החשיבות של נוהלי אבטחת סייבר חזקים בהגנה על נתוני משתמשים.
אדריאן האריס, מפקחת מחלקת השירותים הפיננסיים של ניו יורק, הדגישה כי ההתנהלות של פייפאל הפרה את תקנות אבטחת הסייבר של המדינה. למרות שפייפאל הביעה מחויבות לשיפור האבטחה ולהגנה על מידע הצרכנים, האירוע משמש תזכורת לסיכונים השוטפים ולצורך במסגרות אבטחת סייבר חזקות בתחום הפיננסים הדיגיטליים.
