Kundendaten über Wochen hinweg ungeschützt
PayPal Sicherheitsmängel Geldstrafe: Die Finanzaufsichtsbehörde des Bundesstaates New York (DFS) hat PayPal wegen schwerwiegender Sicherheitsmängel zu einer Geldstrafe von 2 Millionen Dollar verurteilt. Im Jahr 2022 ermöglichte ein Sicherheitsvorfall, dass sensible Kundendaten wie Sozialversicherungsnummern, Namen und Geburtsdaten für Cyberkriminelle zugänglich wurden.
Adrienne Harris, Leiterin der DFS, erklärte, dass PayPal es versäumt habe, qualifiziertes Personal für Cybersicherheitsaufgaben einzusetzen. Zusätzlich fehlte es an angemessenen Schulungen, um Risiken effektiv zu minimieren. Diese Mängel führten dazu, dass sensible Daten über sieben Wochen ungeschützt blieben.
Am 6. Dezember 2022 entdeckte ein Sicherheitsanalyst von PayPal eine Online-Nachricht mit dem Titel „PP EXPLOIT TO GET SSN“. Am darauffolgenden Tag registrierte das Cybersicherheitsteam einen starken Anstieg unautorisierter Zugriffsversuche. Cyberkriminelle nutzten „Credential Stuffing“, um sich Zugang zu Steuerformularen von zehntausenden Kunden zu verschaffen.
Die Schwachstelle entstand durch Änderungen in den Datenflüssen von PayPal. Diese Anpassungen, die den Zugang zu Steuerformularen für mehr Kunden erleichtern sollten, schufen unbeabsichtigt Sicherheitslücken.
Kritik an fehlenden Schutzmaßnahmen
Die DFS warf PayPal vor, grundlegende Sicherheitsvorkehrungen wie Multi-Faktor-Authentifizierung (MFA) und CAPTCHA nicht verpflichtend eingeführt zu haben. Diese Maßnahmen hätten unbefugte Zugriffe erheblich erschweren können. Das Versäumnis stellt einen Verstoß gegen die Cybersicherheitsvorschriften von New York dar, die seit 2017 zum Schutz sensibler Finanzdaten gelten.
PayPal hat nach dem Vorfall umfangreiche Sicherheitsmaßnahmen eingeführt. Die MFA ist jetzt für alle US-Kundenkonten verpflichtend. Betroffene Nutzer mussten ihre Passwörter zurücksetzen, und CAPTCHA wurde implementiert, um unbefugte Zugriffe zu verhindern.
PayPal gelobt Verbesserung der Sicherheitsstandards
In einer Stellungnahme betonte PayPal sein Engagement für die Sicherheit der Kundendaten. „Der Schutz persönlicher Informationen und die Sicherstellung einer sicheren Plattform haben für uns höchste Priorität. Wir nehmen unsere regulatorischen Verpflichtungen sehr ernst“, erklärte das Unternehmen.
Dieser Vorfall verdeutlicht die wachsende Bedeutung strenger Cybersicherheitsstandards, insbesondere in der Finanzbranche. Die DFS setzt weiterhin auf konsequente Durchsetzung ihrer Vorschriften, um den Schutz sensibler Kundendaten zu gewährleisten und zukünftige Sicherheitsvorfälle zu verhindern.
Weitere Neuigkeiten zu Wirtschaft News finden Sie hier
