Compliance

PayPal paga dois milhões de dólares após violação de dados

O acordo surge após falhas de cibersegurança da empresa terem resultado num ataque em dezembro de 2022 que expôs dados confidenciais de 35 mil contas de PayPal

28/01/2025

PayPal paga dois milhões de dólares após violação de dados

O estado de Nova Iorque anunciou que a PayPal vai pagar dois milhões de dólares após um acordo por acusações de não conformidade com os regulamentos de cibersegurança do estado, que resultou numa violação de dados em 2022.

O Departamento de Serviços Financeiros (DFS) refere que os agentes de ameaças aproveitaram as falhas de segurança nos sistemas PayPal para realizar ataques de preenchimento de credenciais que deram acesso a informações confidenciais dos clientes.

Em 2023, o PayPal divulgou que os cibercriminosos realizaram um ataque de preenchimento de credenciais em grande escala entre os dias seis e oito de dezembro de 2022, onde 35 mil contas foram afetadas. Os dados roubados e expostos na altura incluíam nomes completos, datas de nascimento, códigos postais, números de segurança social e números de identificação fiscal.

O anúncio do DFS de Nova Iorque revela novas informações sobre o ataque, explicando que uma das falhas de segurança da empresa de pagamentos online foi um erro na forma como os formulários 1099-K foram distribuídos na plataforma.

Os dados dos clientes foram expostos depois de o PayPal ter implementado alterações nos fluxos de dados existentes para disponibilizar os formulários 1099-K do IRS a mais clientes”, destaca a DFS. “No entanto, as equipas encarregues de implementar estas alterações não foram formadas nos sistemas e processos de desenvolvimento de aplicações do PayPal. Como resultado, falharam em seguir os procedimentos adequados antes de as alterações irem para o ar”.

O sucesso destes ataques de “preenchimento de credenciais” dependia da falta de proteção de autenticação multifator (MFA) e combinado com fracos controlos de acesso que permitem tentativas de login automatizadas sem CAPTCHA ou limitação de taxa, criou falhas de compliance importantes para o PayPal.

Apesar de o PayPal ter tomado várias medidas de mitigação após a descoberta do ataque, o que incluiu mascarar dados confidenciais nos formulários de IRS, implementar CAPTCHA e limitação de taxas e tornar o MFA obrigatório em todas as contas de clientes dos EUA, de acordo com o DFS, isto aconteceu demasiado tarde.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº22 Fevereiro 2025

IT SECURITY Nº22 Fevereiro 2025

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.