รัฐนิวยอร์กได้ประกาศการชำระเงินจำนวน 2,000,000 ดอลลาร์ของ PayPal หลังจากที่ถูกกล่าวหาว่าละเมิดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ของรัฐ ซึ่งนำไปสู่การถูกละเมิดข้อมูลในปี 2022
การดำเนินการของ Department of Financial Services (DFS) ระบุว่า ผู้ไม่หวังดีได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในระบบของ PayPal เพื่อทำการโจมตีแบบ credential stuffing ซึ่งทำให้สามารถเข้าถึงข้อมูลที่สำคัญของลูกค้าได้
ในปี 2023 PayPal ได้เปิดเผยว่าผู้ไม่หวังดีได้ทำการโจมตีแบบ credential stuffing จำนวนมากระหว่างวันที่ 6 ธันวาคม ถึง 8 ธันวาคม 2022 ซึ่งทำให้ข้อมูลบัญชีผู้ใช้งานกว่า 35,000 บัญชีรั่วไหล
ข้อมูลที่ถูกเปิดเผยในขณะนั้นประกอบไปด้วยชื่อเต็ม, วันเกิด, ที่อยู่, หมายเลขประกันสังคม และหมายเลขประจำตัวผู้เสียภาษีส่วนบุคคล
การประกาศของ DFS แห่งรัฐนิวยอร์กได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับการละเมิดนี้ โดยอธิบายว่า หนึ่งในช่องโหว่ด้านความปลอดภัยของ PayPal คือข้อผิดพลาดในการแจกจ่ายแบบฟอร์มภาษี 1099-K บนแพลตฟอร์ม
DFS ระบุว่า "ข้อมูลของลูกค้าถูกเปิดเผยหลังจากที่ PayPal ได้ดำเนินการเปลี่ยนแปลงกระบวนการจัดการข้อมูลที่มีอยู่ เพื่อทำให้แบบฟอร์มภาษี 1099-K สามารถเข้าถึงได้มากขึ้น"
อย่างไรก็ตาม ทีมงานที่ได้รับมอบหมายให้ดำเนินการเปลี่ยนแปลงเหล่านี้ ไม่ได้รับการฝึกอบรมเกี่ยวกับระบบ และกระบวนการพัฒนาแอปพลิเคชันของ PayPal ส่งผลให้พวกเขาไม่ได้ปฏิบัติตามขั้นตอนที่เหมาะสมก่อนที่การเปลี่ยนแปลงจะถูกเปิดใช้งาน
หลังจากการดำเนินการที่ผิดพลาด ผู้ไม่หวังที่มีข้อมูลบัญชี PayPal ที่ถูกต้อง สามารถเข้าถึงบัญชีเหล่านั้น และแบบฟอร์ม 1099-K ซึ่งเปิดเผยข้อมูลที่สำคัญจำนวนมาก
ความสำเร็จของการโจมตีแบบ "credential stuffing" เกิดจากการขาดการป้องกันการยืนยันตัวตนหลายปัจจัย (MFA) ซึ่งในขณะนั้นยังไม่เป็นข้อบังคับบนแพลตฟอร์ม
เมื่อรวมกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งอนุญาตให้มีการพยายามล็อกอินอัตโนมัติโดยไม่มี CAPTCHA หรือการจำกัดอัตราการเข้าถึง ถือเป็นความผิดพลาดหลักในการปฏิบัติตามข้อกำหนดของ PayPal
คำสั่งยินยอมระบุการละเมิดมาตรา 23 NYCRR § 500.3, 500.10, และ 500.12 ของกฎระเบียบความปลอดภัยทางไซเบอร์ของรัฐนิวยอร์ก เนื่องจากการไม่ดำเนินการตามนโยบายความปลอดภัยทางไซเบอร์ที่เหมาะสม, การฝึกอบรมบุคลากร และการควบคุมการยืนยันตัวตน
แม้ว่า PayPal จะดำเนินการแก้ไขหลายขั้นตอนหลังจากการค้นพบการละเมิดนี้ เช่น การปกปิดข้อมูลที่สำคัญในแบบฟอร์มภาษี IRS, การติดตั้ง CAPTCHA และการจำกัดอัตราการเข้าถึง รวมถึงการทำให้ MFA เป็นข้อบังคับสำหรับบัญชีลูกค้าทั้งหมดในสหรัฐอเมริกา แต่การดำเนินการเหล่านี้เกิดขึ้นช้าเกินไปตามที่ DFS ระบุ
เงื่อนไขการชำระเงินตามข้อตกลง กำหนดให้ PayPal ต้องจ่ายค่าปรับ 2 ล้านดอลลาร์ภายใน 10 วัน และจะไม่มีการดำเนินการเพิ่มเติม เว้นแต่ DFS ของรัฐนิวยอร์กจะค้นพบการละเมิดใหม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.