PayPal accetta di pagare 2 milioni di dollari per un data breach del 2022
Le conseguenze e le misure correttive
Lo stato di New York ha annunciato un accordo con PayPal per una multa di 2 milioni di dollari, legata a un data breach avvenuto nel dicembre 2022. L'incidente è stato causato da gravi lacune nei sistemi di sicurezza della piattaforma, che hanno permesso ad attori malevoli di accedere ai dati sensibili di circa 35.000 account. Secondo il Dipartimento dei Servizi Finanziari (DFS) di New York, l'attacco è stato facilitato da:
- Attacchi di credential stuffing, in cui gli hacker utilizzano credenziali rubate da altre violazioni per accedere a account su piattaforme diverse.
- Mancanza di autenticazione a più fattori (MFA) obbligatoria al momento dell'incidente.
- Assenza di sistemi di protezione avanzati, come CAPTCHA e limitazione delle richieste di accesso.
Inoltre, il DFS ha evidenziato che PayPal ha introdotto modifiche al flusso dei dati per rendere disponibili i moduli fiscali 1099-K a più utenti, ma senza che il personale coinvolto fosse adeguatamente formato sui processi di sviluppo e sicurezza. Queste modifiche hanno esposto dati come nomi e cognomi, date di nascita, indirizzi postali, numeri di previdenza sociale e identificativi fiscali.
Dopo il breach, PayPal ha implementato una serie di misure per rafforzare la sicurezza, tra cui l'bbligo di MFA per tutti i clienti statunitensi, l'introduzione di CAPTCHA e limitazioni delle richieste di login automatizzate, oltre al mascheramento dei dati sensibili nei moduli fiscali.
CLICCA QUI PER CONTINUARE A LEGGERE
Qual è la vostra reazione?
