PayPal Multado em $2M por Violação de Segurança Cibernética que Expos Dados de Clientes

O PayPal foi multado em $2 milhões pelo Departamento de Serviços Financeiros de Nova York (DFS) por falhas de segurança cibernética que resultaram na exposição dos números do Seguro Social dos clientes no final de 2022, conforme relatado inicialmente pelo Reuters.

A violação, que durou aproximadamente sete semanas, deixou dados sensíveis, incluindo nomes, datas de nascimento e números do Seguro Social, vulneráveis a criminosos cibernéticos, anunciou a DFS na quinta-feira.

Adrienne Harris, superintendente de serviços financeiros de Nova York, revelou que o PayPal não possui pessoal qualificado para supervisionar operações críticas de cibersegurança e falhou em fornecer treinamento adequado para mitigar riscos. Essas falhas facilitaram para os invasores explorarem o sistema, observou a Reuters.

O problema veio à tona em 6 de dezembro de 2022, quando um analista de segurança descobriu uma mensagem online referenciando uma vulnerabilidade, rotulada como “PP EXPLOIT TO GET SSN”. No dia seguinte, a equipe de cibersegurança do PayPal detectou um aumento nas tentativas de acesso não autorizado em sua plataforma, disse a Reuters.

As investigações revelaram que os atacantes estavam usando técnicas de “credential stuffing” para visualizar formulários de impostos federais pertencentes a dezenas de milhares de clientes, disse a Reuters.

A violação ocorreu após o PayPal alterar as configurações de fluxo de dados para expandir o acesso a esses formulários, expondo inadvertidamente informações sensíveis. Harris também criticou o PayPal por não implementar medidas de segurança básicas, como autenticação multifatorial e CAPTCHA, para impedir o acesso não autorizado, conforme relatado pela Reuters.

Em uma declaração, a Reuters informa que o PayPal reconheceu a investigação e reafirmou seu compromisso em proteger as informações do usuário. “Proteger as informações pessoais dos consumidores e manter uma plataforma segura é uma prioridade máxima”, disse a empresa.

Desde a violação, o PayPal implementou autenticação multifator para todas as contas de clientes dos EUA, exigiu a redefinição de senhas para os usuários afetados e adicionou CAPTCHA para aprimorar a segurança, destacou a Reuters.

A multa de $2 milhões está ligada a violações da regulamentação de cibersegurança de Nova York, que foi estabelecida em 2017 para aprimorar as proteções para os serviços financeiros, relata a Reuters.