Η PayPal θα πληρώσει αστικό πρόστιμο ύψους 2 εκατομμυρίων δολαρίων για αστοχίες στην κυβερνοασφάλεια, που οδήγησαν σε παραβίαση δεδομένων πελάτων στα τέλη του 2022. Συγκεκριμένα, σύμφωνα με το Τμήμα Οικονομικών Υπηρεσιών της πολιτείας της Νέας Υόρκης, το πρόστιμο σχετίζεται με την έκθεση των αριθμών κοινωνικής ασφάλισης των πελατών πριν από περίπου δύο χρόνια.
Η Adrienne Harris, επικεφαλής των οικονομικών υπηρεσιών της Νέας Υόρκης, είπε ότι η PayPal δεν χρησιμοποιούσε εξειδικευμένο προσωπικό για τη διαχείριση βασικών λειτουργιών κυβερνοασφάλειας και δεν παρείχε επαρκή εκπαίδευση για την αντιμετώπιση των κινδύνων στον κυβερνοχώρο.
Δείτε επίσης: Ινδονησία: Πρόστιμο στη Google για το σύστημα πληρωμών στο Google Play
Ως αποτέλεσμα αυτών των ανεπαρκών μέτρων ασφαλείας, τα ονόματα, οι ημερομηνίες γέννησης και οι αριθμοί κοινωνικής ασφάλισης πελατών της PayPal, με έδρα το Σαν Χοσέ της Καλιφόρνια, ήταν εύκολα προσβάσιμα για περίπου επτά εβδομάδες.
Η PayPal ανακάλυψε το πρόβλημα στις 6 Δεκεμβρίου 2022, αφού ένας αναλυτής ασφαλείας αποκάλυψε ένα διαδικτυακό μήνυμα που έλεγε “PP EXPLOIT TO GET SSN“.
Την επόμενη μέρα, η ομάδα κυβερνοασφάλειας του PayPal είδε μια έξαρση στις προσπάθειες πρόσβασης στην διαδικτυακή πλατφόρμα της. Οι κυβερνοεγκληματίες χρησιμοποιούσαν «credential stuffing» τεχνικές για να δουν ομοσπονδιακά φορολογικά έντυπα για δεκάδες χιλιάδες πελάτες.
Δείτε επίσης: Ρωσία: Πρόστιμο στη Google για παράλειψη παλιών ποινών
Η Harris είπε, επίσης, ότι η PayPal δεν απαιτούσε από τους πελάτες να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων ή στοιχεία ελέγχου όπως το CAPTCHA για την αποτροπή μη εξουσιοδοτημένης πρόσβασης.
Σύμφωνα με την οικονομική υπηρεσία της Νέας Υόρκης, τα παραπάνω παραβιάζουν τον κανονισμό για την κυβερνοασφάλεια που εγκρίθηκε το 2017 και γι’ αυτό το λόγο επιβλήθηκε το πρόστιμο στην PayPal.
Ευτυχώς, από τότε που εκτέθηκαν τα δεδομένα, η PayPal έχει αναβαθμίσει την ασφάλειά της.
Το παραπάνω πρόστιμο δεν είναι το μοναδικό που έχει επιβληθεί σε μια εταιρεία για αστοχίες στον τομέα της κυβερνοασφάλειας. Οι ρυθμιστικές αρχές σε όλο τον κόσμο αυξάνουν τον έλεγχο στις πρακτικές κυβερνοασφάλειας των εταιρειών και επιβάλλουν αυστηρότερες κυρώσεις για αστοχίες που θέτουν σε κίνδυνο τα ευαίσθητα δεδομένα των πελατών.
Δείτε επίσης: Πρόστιμο στην Ευρωπαϊκή Επιτροπή για παραβίαση του GDPR!
Οι συνέπειες μιας παραβίασης δεδομένων μπορεί να επεκταθούν πολύ πέρα από τα χρηματικά πρόστιμα, καθώς οι εταιρείες ενδέχεται επίσης να αντιμετωπίσουν πρόβλημα με τη φήμη τους και να χάσουν την εμπιστοσύνη των πελατών. Ως εκ τούτου, οι επιχειρήσεις πρέπει να βλέπουν την κυβερνοασφάλεια όχι μόνο ως ζήτημα συμμόρφωσης αλλά και ως κρίσιμη πτυχή της συνολικής στρατηγικής διαχείρισης κινδύνου. Πρέπει να λαμβάνουν μέτρα προστασίας, όπως διενέργεια τακτικών ελέγχων ασφαλείας, εκπαίδευση των εργαζομένων και θέσπιση σχεδίων έκτακτης ανάγκης σε περίπτωση επίθεσης. Λαμβάνοντας προληπτικά μέτρα για την ενίσχυση της άμυνάς τους στον κυβερνοχώρο, οι εταιρείες μπορούν να προστατευθούν καλύτερα από πιθανές απειλές και να επιδείξουν τη δέσμευσή τους για την προστασία των δεδομένων των πελατών.
Πηγή: www.investing.com
