New York Eyaleti Finansal Hizmetler Departmanı (NYDFS), PayPal, Inc.’e sıkı siber güvenlik düzenlemelerinin ihlali nedeniyle 2 milyon dolar para cezası vermiştir.
Ceza, PayPal’ın Aralık 2022’de bir veri ihlaline yol açan ve Sosyal Güvenlik numaraları (SSN’ler), isimler ve doğum tarihleri de dahil olmak üzere hassas müşteri bilgilerini ortaya çıkaran başarısızlıklardan kaynaklanmaktadır.
İhlal, PayPal’ın IRS Form 1099-KK’ları daha geniş bir müşteri tabanı için erişilebilir hale getirmek için veri akışlarında değişiklikler yaptıktan sonra meydana geldi.
İhlal ve sonuçları
Ancak, sunumdan sorumlu mühendislik ekibi projeyi yeni bir özellik yerine bir platform göçü olarak yanlış sınıflandırdı.
Bu gözetim, PayPal’ın kendi politikaları altında gerekli olan kritik risk değerlendirmelerini ve güvenlik açığı taramalarını atlamıştır. Sonuç olarak, güncellenen formlar maskelenmemiş müşteri verileriyle canlı olarak gerçekleşti.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Bilgisayar korsanları, bu güvenlik açıklarını kimlik bilgisi doldurma saldırısı yoluyla kullandılar; bu, diğer ihlallerden çalınan bir yöntem, yetkisiz erişim elde etmek için kullanıldığı bir yöntem.
6 Aralık ve 8 Aralık 2022 arasında yaklaşık 35.000 hesap tehlikeye atıldı. Saldırganlar, SSN’ler ve vergi kimlik numaraları da dahil olmak üzere Hassas Kamu Olmayan Bilgilere (NPI) erişti.
Her ne kadar yetkisiz işlem bildirilmemesine rağmen, ihlal müşterileri kimlik hırsızlığı risklerine maruz bıraktı.
Düzenleyici ihlaller
NYDFS’in soruşturması, PayPal’ın siber güvenlik çerçevesine uyumu şunları içeren birden fazla tur ortaya çıkardı:
- Kalifiksiz Siber Güvenlik Personeli: PayPal, kritik siber güvenlik işlevlerini denetlemek için yeterince eğitimli personel istihdam edemedi.
- Eğitim eksikliği: IRS Form 1099-K değişikliklerinin uygulanmasından sorumlu ekipler PayPal’ın uygulama geliştirme süreçleri konusunda eğitilmemiştir.
- Zayıf Erişim Kontrolleri: Şirket, yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulama (MFA) veya captcha veya hız sınırlama kontrollerini uygulamadı.
- Politika eksiklikleri: PayPal, erişim kontrollerini, kimlik yönetimini ve veri korumasını ele alan sağlam yazılı politikalardan yoksundu.
Müfettiş Adrienne A. Harris, tüketici verilerinin korunmasında sağlam siber güvenlik önlemlerinin önemini vurguladı.
“New York’un ulus lideri siber güvenlik düzenlemesi, hassas bilgileri korumak ve finansal kurumların esnekliğini sağlamak için kritik bir standart belirliyor” dedi.
Harris, Paypal’ı MFA ve Captcha gibi temel korumaları uygulayamadığı için eleştirdi, bu da ihlali azaltabilir.
NYDFS siber güvenlik düzenlemesi Mart 2017’den bu yana yürürlükte olmuştur ve son zamanlarda Kasım 2023’te finansal kurumlara daha katı gereksinimler uygulamak üzere değiştirilmiştir.
Bunlar, 72 saat içinde siber güvenlik olaylarının zorunlu olarak raporlanmasını ve gelişmiş erişim kontrol mekanizmalarını içerir.
Paypal’ın iyileştirme çabaları
İhlalin ardından PayPal, hasarı azaltmak için derhal harekete geçti:
- Uygulanan Captcha ve hız sınırlayıcı kontroller.
- Maskeli maruz kalan müşteri verileri.
- Etkilenen hesaplar için şifreleri sıfırlayın.
- MFA’yı tüm ABD tabanlı hesaplar için zorunlu hale getirdi.
- Güvenli uygulama geliştirme konusunda geliştirilmiş çalışan eğitimi.
Bir PayPal sözcüsü, “müşteri verilerinin korunmasının birinci öncelik olmaya devam ettiğini ve düzenleyici sorumluluklarımızı ciddiye aldığımızı” belirtti.
Bu etkinlik, NYDFS tarafından düzenlenen fintech şirketlerinin tabi olduğu artan düzenleyici incelemeyi vurgulamaktadır. Finansal kurumlar, zayıf siber güvenlik prosedürlerinin sonuçları hakkında bir uyarı olarak 2 milyon dolarlık cezayı not etmelidir.
Siber tehditler geliştikçe, finansal kurumlar hassas müşteri verilerini korumak ve kamu güvenini korumak için sağlam güvenlik çerçevelerine uyum sağlamalıdır.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek