New York Eyaleti, PayPal ile ilgili olarak, şirketin eyaletin siber güvenlik düzenlemelerine uymadığı ve bu nedenle 2022’de yaşanan bir veri ihlaline yol açtığı gerekçesiyle 2.000.000 dolar tutarında bir uzlaşma anlaşması yaptığını duyurdu.
Finansal Hizmetler Departmanı (DFS) tarafından yapılan açıklamaya göre, tehdit aktörleri PayPal’ın sistemlerindeki güvenlik açıklarından faydalanarak, kullanıcı bilgilerine erişim sağlamak için kimlik bilgisi doldurma saldırıları gerçekleştirdi.
2023 yılında, PayPal, 6 Aralık ile 8 Aralık 2022 arasında büyük çapta kimlik bilgisi doldurma saldırılarının gerçekleştirildiğini açıkladı. Bu saldırılar sonucunda 35.000 hesap ihlal edildi.
O dönemde sızan veriler arasında tam adlar, doğum tarihleri, posta adresleri, sosyal güvenlik numaraları ve bireysel vergi kimlik numaraları yer alıyordu.
New York DFS’nin duyurusunda, ihlalin daha ayrıntılı bir şekilde açıklandığı belirtiliyor ve PayPal’ın güvenlik zaafiyetlerinden birinin, Form 1099-K vergi formlarının platformda yanlış bir şekilde dağıtılmasından kaynaklandığı ifade ediliyor.
DFS, “PayPal, IRS Form 1099-K’larını daha fazla müşterisinin erişimine açmak için mevcut veri akışlarında değişiklikler yaparken, bu değişiklikleri uygulamakla görevli ekipler PayPal’ın sistemleri ve uygulama geliştirme süreçleri konusunda eğitilmemişti. Sonuç olarak, değişiklikler hayata geçirilmeden önce doğru prosedürler izlenmedi,” diye açıklama yaptı.
Hatalı uygulama sonrasında, geçerli PayPal hesap bilgilerine sahip siber suçlular, hesaplara erişim sağlayarak 1099-K formlarına ulaştılar ve bu formlar, çok sayıda hassas bilgi içeriyordu.
Bu “kimlik bilgisi doldurma” saldırılarının başarılı olmasının nedeni, o dönemde platformda çok faktörlü kimlik doğrulamanın (MFA) zorunlu olmamış olmasıydı. Bu durum, CAPTCHA veya hız sınırlaması olmadan otomatik giriş denemelerine izin veren zayıf erişim kontrol sistemleriyle birleşerek, PayPal için büyük bir uyum ihlali oluşturdu.
İlgili karar, PayPal’ın doğru siber güvenlik politikalarını, personel eğitimlerini ve kimlik doğrulama kontrollerini uygulamaması nedeniyle 23 NYCRR § 500.3, 500.10 ve 500.12 numaralı New York Siber Güvenlik Düzenlemesi’ni ihlal ettiğini belirtiyor.
PayPal, ihlalin keşfedilmesinin ardından, IRS formlarındaki hassas verileri gizleme, CAPTCHA ve hız sınırlaması uygulama, ve tüm ABD müşteri hesapları için MFA’yı zorunlu hale getirme gibi birkaç iyileştirme adımı atmış olsa da, DFS’ye göre bu önlemler çok geç alınmıştı.
Anlaşma şartları, PayPal’ın 10 gün içinde 2 milyon dolar ceza ödemesini gerektiriyor. New York DFS, yeni ihlaller keşfedilmediği sürece başka bir işlem yapılmayacağını da belirtiyor.
