پیپال (PayPal) به دلیل نقضهای امنیت سایبری و عدم رعایت مقررات سختگیرانه امنیتی ایالت نیویورک، با جریمه ۲ میلیون دلاری مواجه شد. این جریمه پس از یک نقض امنیتی بزرگ در دسامبر ۲۰۲۲ وضع شد که در آن دادههای حساس مشتریان پیپال، از جمله نام ونام خانوادگی، تاریخ تولد، شمارههای تأمین اجتماعی و شمارههای شناسه مالیاتی آنها فاش شد.
این نقض امنیتی به دلیل تغییراتی که پیپال در جریانهای داده خود برای دسترسی مشتریان به فرمهای مالیاتی 1099-Ks انجام داده بود، رخ داد. متأسفانه تیم مهندسی این پروژه را به اشتباه به عنوان مهاجرت پلتفرم طبقهبندی کرده بود و نه یک ویژگی جدید، که منجر به عدم ارزیابی ریسکها و اسکنهای آسیبپذیری ضروری شد.
متأسفانه تیم مهندسی این پروژه را به اشتباه به عنوان مهاجرت پلتفرم طبقهبندی کرده بود و نه یک ویژگی جدید، که منجر به عدم ارزیابی ریسکها و اسکنهای آسیبپذیری ضروری شد. در نتیجه، فرمهای بهروزرسانیشده بدون پوشش دادههای مشتریان منتشر شدند.
هکرها از این آسیبپذیریها از طریق حمله credential stuffing سوءاستفاده کردند؛ روشی که در آن ترکیب نام کاربری و کلمه عبور ربوده شده از نفوذهای قبلی برای دسترسی غیرمجاز مورد استفاده قرار گرفت.
حدود ۳۵,۰۰۰ حساب بین ۶ دسامبر و ۸ دسامبر ۲۰۲۲ هک شدند و مهاجمان به اطلاعات حساس غیرعمومی (NPI) دسترسی پیدا کردند.
اگرچه هیچ تراکنش غیرمجازی گزارش نشد اما این نقض امنیتی مشتریان را در معرض خطر سرقت هویت قرار داد. از این رو، دپارتمان خدمات مالی ایالت نیویورک (NYDFS) جریمه ۲ میلیون دلاری را به دلیل نقض مقررات سختگیرانه امنیت سایبری بر شرکت پیپال تحمیل کرد.
نقضهای مقرراتی
تحقیقات NYDFS چندین نقص در چارچوب امنیت سایبری پیپال را فاش کرد، که میبایست رعایت میشدند. اینها شامل موارد زیر میباشد:
نیروی انسانی غیرمتخصص در امنیت سایبری: پیپال نیروی انسانی متخصص را برای نظارت بر وظایف حیاتی امنیت سایبری استخدام نکرده بود.
عدم آموزش: تیمهای مسئول اجرای تغییرات فرمهای 1099-Ks سازمان مالیات ایالات متحده (IRS)، آموزشهای لازم در مورد فرآیندهای توسعه برنامههای پیپال را دریافت نکرده بودند.
کنترلهای دسترسی ضعیف: این شرکت از احراز هویت چندعاملی (MFA) استفاده نمیکرد و کنترلهایی مانند CAPTCHA یا محدودسازی نرخ را برای جلوگیری از دسترسی غیرمجاز پیادهسازی نکرده بود.
نقص در سیاستها: پیپال سیاستهای مکتوب و قوی در زمینه کنترلهای دسترسی، مدیریت هویت و حفاظت از دادهها تدوین نکرده بود.
مقررات پیشرفته امنیت سایبری ایالت نیویورک استاندارد مهمی برای حفاظت از اطلاعات حساس و تضمین تابآوری مؤسسات مالی تعیین میکند. پیپال به دلیل عدم پیادهسازی اقدامات ابتدایی حفاظت مانند MFA و CAPTCHA که میتوانستند نقض امنیتی را کاهش دهند، مورد انتقاد قرار دارد.
مقررات امنیت سایبری NYDFS از مارس ۲۰۱۷ به اجرا درآمده است و اخیراً در نوامبر ۲۰۲۳ بهمنظور اعمال الزامات سختگیرانهتر بر مؤسسات مالی اصلاح شده است. این موارد شامل گزارشدهی اجباری رخدادهای امنیت سایبری ظرف ۷۲ ساعت و اتخاذ مکانیزمهای کنترل دسترسی پیشرفتهتر است.
اقدامات متقابل پیپال
پس از این نقض امنیتی، پیپال بلافاصله اقداماتی را برای کاهش آسیبها به انجام رساند:
- پیادهسازی کنترلهای CAPTCHA و محدودسازی نرخ.
- پوشاندن دادههای فاش شده مشتریان.
- بازنشانی کلمههای عبور برای حسابهای هک شده.
- اعمال مکانیزم MFA بهعنوان الزام برای تمامی حسابهای مستقر در ایالات متحده.
- تقویت آموزشهای کارکنان در زمینه توسعه ایمن برنامهها.
سخنگوی پیپال اظهار داشت که حفاظت از دادههای مشتریان همچنان اولویت اصلی آنهاست و مسئولیتهای مقرراتی خود را بهطور جدی دنبال خواهند کرد.
این رویداد بر نظارت فزایندهای که شرکتهای فینتک تحت مقررات NYDFS با آن مواجه هستند، تأکید میکند. مؤسسات مالی میبایست جریمه ۲ میلیون دلاری را بهعنوان هشداری درباره پیامد شیوههای ضعیف امنیت سایبری در نظر بگیرند.
با پیشرفت تهدیدات سایبری، مؤسسات مالی باید اولویت را به رعایت چارچوبهای امنیتی قوی اختصاص دهند تا دادههای حساس مشتریان را محافظت کرده و اعتماد عمومی را حفظ کنند.