New York eyaletinin Finansal Hizmetler Departmanı, PayPal’ın 2022’nin sonlarında müşterilerin Sosyal Güvenlik numaralarının açığa çıkmasına yol açan siber güvenlik hataları nedeniyle 2 milyon ABD Doları (3,8 milyon Avustralya Doları) para cezası ödeyeceğini açıkladı.
New York’un finansal hizmetler şefi Adrienne Harris, ofisi tarafından yapılan bir soruşturmada, PayPal’ın temel siber güvenlik işlevlerini yönetmek veya siber güvenlik risklerini ele almak için yeterli eğitimi sağlamak için nitelikli personel kullanmadığının tespit edildiğini söyledi.
Bu sayede San Jose, California merkezli dijital ödeme şirketinin müşterilerinin isimleri, doğum tarihleri ve Sosyal Güvenlik numaraları siber suçluların yaklaşık yedi hafta boyunca kolayca erişebileceği hale geldi.
PayPal soruşturmayla işbirliği yaptı. Şirket yaptığı açıklamada, “Tüketicilerin kişisel bilgilerinin korunması ve güvenli bir platformun sürdürülmesi bizim için en önemli önceliktir ve düzenleyici sorumluluklarımızı ciddiye alıyoruz” dedi.
Onay emrine göre PayPal, sorunu 6 Aralık 2022’de bir güvenlik analistinin “PP’DEN SSN ALMAK İÇİN KULLANIN” yazan çevrimiçi bir mesajı okumasının ardından keşfetti.
Ertesi gün PayPal’ın siber güvenlik ekibi, çevrimiçi platformuna erişme girişimlerinde ani bir artış gördü ve siber suçluların on binlerce müşterinin federal vergi formlarını görüntülemek için “kimlik bilgisi doldurma” yöntemini kullandığını belirledi.
Veriler, PayPal’ın formları daha fazla müşterinin kullanımına sunabilmek için mevcut veri akışlarında değişiklik yapmasının ardından açığa çıktı.
Harris ayrıca müşterilerin yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulama veya CAPTCHA gibi kontroller kullanmasını gerektirmemesi nedeniyle PayPal’ı suçladı.
Ceza, finansal hizmetler departmanının 2017 yılında kabul edilen siber güvenlik düzenlemesini ihlal etmekten kaynaklanıyordu.
Onay emrinde, PayPal’ın artık tüm ABD müşteri hesaplarında çok faktörlü kimlik doğrulaması gerektirdiği, etkilenen hesaplarda şifrelerin zorunlu olarak sıfırlandığı ve CAPTCHA’yı uyguladığı belirtildi.