خانه » پی‌پال به دلیل نقض امنیت سایبری، ۲ میلیون دلار جریمه شد!

پی‌پال به دلیل نقض امنیت سایبری، ۲ میلیون دلار جریمه شد!

توسط Vulnerbyt_News
جریمه ۲ میلیون دلاری پی‌پال (PayPal) - نقض امنیت سایبری - vulnerbyte

پی‌پال (PayPal) به دلیل نقض‌های امنیت سایبری و عدم رعایت مقررات سختگیرانه امنیتی ایالت نیویورک، با جریمه ۲ میلیون دلاری مواجه شد. این جریمه پس از یک نقض امنیتی بزرگ در دسامبر ۲۰۲۲ وضع شد که در آن داده‌های حساس مشتریان پی‌پال، از جمله نام‌ ونام خانوادگی، تاریخ تولد، شماره‌های تأمین اجتماعی و شماره‌های شناسه مالیاتی آنها فاش شد.

این نقض امنیتی به دلیل تغییراتی که پی‌پال در جریان‌های داده خود برای دسترسی مشتریان به فرم‌های مالیاتی 1099-Ks انجام داده بود، رخ داد. متأسفانه تیم مهندسی این پروژه را به اشتباه به عنوان مهاجرت پلتفرم طبقه‌بندی کرده بود و نه یک ویژگی جدید، که منجر به عدم ارزیابی ریسک‌ها و اسکن‌های آسیب‌پذیری ضروری شد.

متأسفانه تیم مهندسی این پروژه را به اشتباه به عنوان مهاجرت پلتفرم طبقه‌بندی کرده بود و نه یک ویژگی جدید، که منجر به عدم ارزیابی ریسک‌ها و اسکن‌های آسیب‌پذیری ضروری شد. در نتیجه، فرم‌های به‌روزرسانی‌شده بدون پوشش داده‌های مشتریان منتشر شدند.

هکرها از این آسیب‌پذیری‌ها از طریق حمله credential stuffing  سوءاستفاده کردند؛ روشی که در آن ترکیب‌ نام کاربری و کلمه عبور ربوده شده از نفوذهای قبلی برای دسترسی غیرمجاز مورد استفاده قرار گرفت.

حدود ۳۵,۰۰۰ حساب بین ۶ دسامبر و ۸ دسامبر ۲۰۲۲ هک شدند و مهاجمان به اطلاعات حساس غیرعمومی (NPI)  دسترسی پیدا کردند.

اگرچه هیچ تراکنش غیرمجازی گزارش نشد اما این نقض امنیتی مشتریان را در معرض خطر سرقت هویت قرار داد. از این رو، دپارتمان خدمات مالی ایالت نیویورک (NYDFS) جریمه ۲ میلیون دلاری را به دلیل نقض مقررات سخت‌گیرانه امنیت سایبری بر شرکت پی‌پال تحمیل کرد.

 

نقض‌های مقرراتی

تحقیقات NYDFS چندین نقص در چارچوب امنیت سایبری پی‌پال را فاش کرد، که می‌بایست رعایت می‌شدند. این‌ها شامل موارد زیر می‌باشد:

نیروی انسانی غیرمتخصص در امنیت سایبری: پی‌پال نیروی انسانی متخصص را برای نظارت بر وظایف حیاتی امنیت سایبری استخدام نکرده بود.

عدم آموزش: تیم‌های مسئول اجرای تغییرات فرم‌های 1099-Ks سازمان مالیات ایالات متحده (IRS)، آموزش‌های لازم در مورد فرآیندهای توسعه برنامه‌های پی‌پال را دریافت نکرده بودند.

کنترل‌های دسترسی ضعیف: این شرکت از احراز هویت چندعاملی (MFA) استفاده نمی‌کرد و کنترل‌هایی مانند CAPTCHA  یا محدودسازی نرخ را برای جلوگیری از دسترسی غیرمجاز پیاده‌سازی نکرده بود.

نقص در سیاست‌ها: پی‌پال سیاست‌های مکتوب و قوی در زمینه کنترل‌های دسترسی، مدیریت هویت و حفاظت از داده‌ها تدوین نکرده بود.

مقررات پیشرفته امنیت سایبری ایالت نیویورک استاندارد مهمی برای حفاظت از اطلاعات حساس و تضمین تاب‌آوری مؤسسات مالی تعیین می‌کند. پی‌پال به دلیل عدم پیاده‌سازی اقدامات ابتدایی حفاظت مانند MFA و CAPTCHA که می‌توانستند نقض امنیتی را کاهش دهند، مورد انتقاد قرار دارد.

مقررات امنیت سایبری NYDFS از مارس ۲۰۱۷ به اجرا درآمده است و اخیراً در نوامبر ۲۰۲۳ به‌منظور اعمال الزامات سخت‌گیرانه‌تر بر مؤسسات مالی اصلاح شده است. این موارد شامل گزارش‌دهی اجباری رخدادهای امنیت سایبری ظرف ۷۲ ساعت و اتخاذ مکانیزم‌های کنترل دسترسی پیشرفته‌تر است.

 

اقدامات متقابل پی‌پال

پس از این نقض امنیتی، پی‌پال بلافاصله اقداماتی را برای کاهش آسیب‌ها به انجام رساند:

  • پیاده‌سازی کنترل‌های CAPTCHA و محدودسازی نرخ.
  • پوشاندن داده‌های فاش شده مشتریان.
  • بازنشانی کلمه‌های عبور برای حساب‌های هک شده.
  • اعمال مکانیزم MFA به‌عنوان الزام برای تمامی حساب‌های مستقر در ایالات متحده.
  • تقویت آموزش‌های کارکنان در زمینه توسعه ایمن برنامه‌ها.

سخنگوی پی‌پال اظهار داشت که حفاظت از داده‌های مشتریان همچنان اولویت اصلی آنهاست و مسئولیت‌های مقرراتی خود را به‌طور جدی دنبال خواهند کرد.

این رویداد بر نظارت فزاینده‌ای که شرکت‌های فین‌تک تحت مقررات NYDFS با آن مواجه هستند، تأکید می‌کند. مؤسسات مالی می‌بایست جریمه‌ ۲ میلیون دلاری را به‌عنوان هشداری درباره پیامد شیوه‌های ضعیف امنیت سایبری در نظر بگیرند.

با پیشرفت تهدیدات سایبری، مؤسسات مالی باید اولویت را به رعایت چارچوب‌های امنیتی قوی اختصاص دهند تا داده‌های حساس مشتریان را محافظت کرده و اعتماد عمومی را حفظ کنند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید