New York Eyaleti, eyaletin siber güvenlik düzenlemelerine uymadığı ve 2022 veri ihlaline yol açan ücretler üzerinden PayPal ile 2.000.000 dolarlık bir anlaşma duyurdu.
Finansal Hizmetler Bakanlığı (DFS) eylemi, tehdit aktörlerinin hassas müşteri bilgilerine erişim sağlayan kimlik bilgisi doldurma saldırıları yapmak için PayPal sistemlerindeki güvenlik boşluklarından yararlandığını söylüyor.
2023’te PayPal, tehdit aktörlerinin 6 Aralık ve 8 Aralık 2022 arasında 35.000 hesabın ihlal edildiği büyük ölçekli bir kimlik bilgileri doldurma saldırısı gerçekleştirdiğini açıkladı.
O sırada ortaya çıkan veriler arasında tam isimler, doğum tarihleri, posta adresleri, sosyal güvenlik numaraları ve bireysel vergi kimlik numaraları vardı.
New York’un DFS duyurusu, PayPal’ın güvenlik turlarından birinin platformda Form 1099-K vergi formlarının nasıl dağıtıldığı konusunda bir hata olduğunu açıklayan ihlallere daha fazla ışık tutuyor.
DFS, “PayPal, IRS Form 1099-KK’ları müşterilerinin daha fazla kullanılabilir hale getirmesi için mevcut veri akışlarında yapılan değişiklikler uygulandıktan sonra müşteri verileri ortaya çıktı.”
“Bununla birlikte, bu değişiklikleri uygulamakla görevli ekipler PayPal’ın sistemleri ve uygulama geliştirme süreçleri konusunda eğitilmedi. Sonuç olarak, değişiklikler yayınlanmadan önce uygun prosedürleri takip edemediler.”
Hatalı uygulamanın ardından, PayPal hesapları için geçerli kimlik bilgileri tutan siber suçlular, bu hesaplara ve 1099-K formlarına erişebildiler ve bu da çok sayıda hassas bilgi ortaya çıkardı.
Bu “kimlik bilgisi doldurma” saldırılarının başarısı, o sırada platformda zorunlu olmayan çok faktörlü kimlik doğrulama (MFA) korumasının eksikliğine bağlı.
Bu, Captcha veya hız sınırlaması olmadan otomatik giriş girişimlerine izin veren zayıf erişim kontrolleri ile birleştiğinde, PayPal için temel uyum arızaları oluşturdu.
Onay emri, uygun siber güvenlik politikalarının, personel eğitimi ve kimlik doğrulama kontrollerinin uygulanamaması için New York siber güvenlik düzenlemesinin 23 NYCRR § 500.3, 500.10 ve 500.12 ihlallerini belirtir.
PayPal, DFS’ye göre, ihlalin keşfinden sonra, IRS formlarına duyarlı verileri maskeleme, captcha ve oran sınırlaması uygulama ve MFA’yı zorunlu hale getirmek de dahil olmak üzere birkaç iyileştirme adım atmasına rağmen, bu çok geç geldi.
Uzlaşma şartları, PayPal’ın 10 gün içinde 2 milyon dolar para cezası ödemesi gerektiğine karar verirken, New York’un DFS’si yeni ihlalleri keşfetmedikçe başka bir işlem yapılmayacaktır.