Compliance
O acordo surge após falhas de cibersegurança da empresa terem resultado num ataque em dezembro de 2022 que expôs dados confidenciais de 35 mil contas de PayPal
28/01/2025
O estado de Nova Iorque anunciou que a PayPal vai pagar dois milhões de dólares após um acordo por acusações de não conformidade com os regulamentos de cibersegurança do estado, que resultou numa violação de dados em 2022. O Departamento de Serviços Financeiros (DFS) refere que os agentes de ameaças aproveitaram as falhas de segurança nos sistemas PayPal para realizar ataques de preenchimento de credenciais que deram acesso a informações confidenciais dos clientes. Em 2023, o PayPal divulgou que os cibercriminosos realizaram um ataque de preenchimento de credenciais em grande escala entre os dias seis e oito de dezembro de 2022, onde 35 mil contas foram afetadas. Os dados roubados e expostos na altura incluíam nomes completos, datas de nascimento, códigos postais, números de segurança social e números de identificação fiscal. O anúncio do DFS de Nova Iorque revela novas informações sobre o ataque, explicando que uma das falhas de segurança da empresa de pagamentos online foi um erro na forma como os formulários 1099-K foram distribuídos na plataforma. “Os dados dos clientes foram expostos depois de o PayPal ter implementado alterações nos fluxos de dados existentes para disponibilizar os formulários 1099-K do IRS a mais clientes”, destaca a DFS. “No entanto, as equipas encarregues de implementar estas alterações não foram formadas nos sistemas e processos de desenvolvimento de aplicações do PayPal. Como resultado, falharam em seguir os procedimentos adequados antes de as alterações irem para o ar”. O sucesso destes ataques de “preenchimento de credenciais” dependia da falta de proteção de autenticação multifator (MFA) e combinado com fracos controlos de acesso que permitem tentativas de login automatizadas sem CAPTCHA ou limitação de taxa, criou falhas de compliance importantes para o PayPal. Apesar de o PayPal ter tomado várias medidas de mitigação após a descoberta do ataque, o que incluiu mascarar dados confidenciais nos formulários de IRS, implementar CAPTCHA e limitação de taxas e tornar o MFA obrigatório em todas as contas de clientes dos EUA, de acordo com o DFS, isto aconteceu demasiado tarde. |