Il Dipartimento dei Servizi Finanziari dello Stato di New York (DFS) ha recentemente ordinato a PayPal di versare un risarcimento di 2 milioni di dollari in seguito a una violazione dei dati risalente a tre anni fa. Il 18 gennaio 2023, PayPal ha confermato di aver subito un’importante violazione della sicurezza che ha permesso agli cybercriminali di accedere a informazioni personali sensibili dei propri clienti.
Risarcimento di 2 milioni di dollari per PayPal a causa di una violazione dei dati del 2022
Nell’accordo di consenso datato 23 gennaio 2025, sono riportati dettagli relativi all’incidente di violazione dei dati. Secondo il documento, un analista della sicurezza ha messo in guardia PayPal riguardo a un messaggio online denominato “PP EXPLOIT TO GET SSN” il 6 dicembre 2022. Un link allegato al messaggio reindirizzava gli utenti al sito di PayPal per verificare i loro numeri di previdenza sociale (SSN).
Lo stesso giorno, PayPal ha riscontrato che le Form 1099-K disponibili sul sito contenevano informazioni sensibili non mascherate, quali nomi, date di nascita e numeri di previdenza sociale completi. I criminali informatici sono riusciti ad accedere a queste informazioni per un periodo di circa sette settimane, come specificato da Adrienne A. Harris, Sovrintendente dei Servizi Finanziari.
Il giorno successivo, il 7 dicembre, il team di sicurezza di PayPal ha rilevato un aumento dei tentativi di accesso al sito attraverso tecniche di credential stuffing. L’obiettivo era “ottenere accesso alle informazioni non mascherate contenute nelle Form 1099-K.” Il DFS ha concluso che PayPal non ha utilizzato personale adeguatamente specializzato per gestire le funzioni di sicurezza informatica fondamentali e non ha formato il proprio personale in modo appropriato.
Il corpo investigativo ha anche osservato che PayPal non imponeva l’autenticazione a più fattori (MFA) o CAPTCHA come misure di protezione per prevenire accessi non autorizzati. È importante evidenziare che PayPal ha ricevuto una sanzione di 2 milioni di dollari per la violazione delle normative di sicurezza informatica del DFS attuate nel 2017.
Obbligo di autentificazione a più fattori per gli utenti statunitensi di PayPal
L’accordo di consenso prevede anche che tutti gli utenti di PayPal negli Stati Uniti debbano utilizzare l’autenticazione a più fattori (MFA) per l’accesso ai propri account. Con l’avanzare della tecnologia, i criminali informatici continuano ad affinare le loro tecniche per violare i sistemi. Pertanto, per proteggere gli account online da accessi non autorizzati, è fondamentale implementare l’autenticazione a più fattori.
Lascia un commento