PayPal Was Fined 2 Million for Cybersecurity Vulnerabilities

న్యూయార్క్ స్టేట్ డిపార్ట్మెంట్ ఆఫ్ ఫైనాన్షియల్ సర్వీసెస్ (NYDFS) దాని కఠినమైన సైబర్‌ సెక్యూరిటీ నిబంధనల ఉల్లంఘనల కోసం పేపాల్, ఇంక్‌లో 2 మిలియన్ల జరిమానా విధించింది.

పేపాల్ యొక్క సైబర్‌ సెక్యూరిటీ పద్ధతుల్లో వైఫల్యాల నుండి జరిమానా ఉంది, ఇది డిసెంబర్ 2022 లో డేటా ఉల్లంఘనకు దారితీసింది, సామాజిక భద్రత సంఖ్యలు (ఎస్‌ఎస్‌ఎన్‌లు), పేర్లు మరియు పుట్టిన తేదీలతో సహా సున్నితమైన కస్టమర్ సమాచారాన్ని బహిర్గతం చేస్తుంది.

పేపాల్ దాని డేటా ప్రవాహాలకు మార్పులను అమలు చేసిన తరువాత ఈ ఉల్లంఘన జరిగింది, IRS ఫారం 1099-లను విస్తృత కస్టమర్ స్థావరానికి ప్రాప్యత చేస్తుంది.

ఉల్లంఘన మరియు దాని పరిణామాలు

ఏదేమైనా, రోల్‌అవుట్‌కు బాధ్యత వహించే ఇంజనీరింగ్ బృందం ఈ ప్రాజెక్టును కొత్త ఫీచర్ కాకుండా ప్లాట్‌ఫాం వలసగా వర్గీకరించింది.

ఈ పర్యవేక్షణ పేపాల్ యొక్క సొంత విధానాల క్రింద క్లిష్టమైన రిస్క్ అసెస్‌మెంట్‌లు మరియు బలహీనత స్కాన్‌లను దాటవేసింది. పర్యవసానంగా, నవీకరించబడిన ఫారమ్‌లు అన్‌మాస్క్ చేయని కస్టమర్ డేటాతో ప్రత్యక్ష ప్రసారం అయ్యాయి.

Chrome Security Update Fixes Memory Corruption and Access Vulnerabilities

క్రెడెన్షియల్ స్టఫింగ్ అటాక్ ద్వారా హ్యాకర్లు ఈ దుర్బలత్వాలను దోపిడీ చేశారు-అనధికార ప్రాప్యతను పొందడానికి ఇతర ఉల్లంఘనల నుండి దొంగిలించబడిన వినియోగదారు పేరు-పాస్‌వర్డ్ కలయికలు ఉపయోగించబడతాయి.

డిసెంబర్ 6 మరియు డిసెంబర్ 8, 2022 మధ్య, సుమారు 35,000 ఖాతాలు రాజీ పడ్డాయి. దాడి చేసేవారు SSN లు మరియు పన్ను గుర్తింపు సంఖ్యలతో సహా సున్నితమైన నాన్ -పబ్లిక్ ఇన్ఫర్మేషన్ (NPI) ను యాక్సెస్ చేశారు.

అనధికార లావాదేవీలు ఏవీ నివేదించబడనప్పటికీ, ఉల్లంఘన వినియోగదారులను గుర్తింపు దొంగతనం ప్రమాదాలకు గురిచేసింది.

నియంత్రణ ఉల్లంఘనలు

NYDFS యొక్క దర్యాప్తులో పేపాల్ దాని సైబర్‌ సెక్యూరిటీ ఫ్రేమ్‌వర్క్‌తో ఉన్న సమ్మతిలో బహుళ లోపాలు వెల్లడించింది, ఇందులో ఇవి ఉన్నాయి:

• అర్హత లేని సైబర్ భద్రతా సిబ్బంది: క్లిష్టమైన సైబర్‌ సెక్యూరిటీ ఫంక్షన్లను పర్యవేక్షించడానికి తగినంత శిక్షణ పొందిన సిబ్బందిని నియమించడంలో పేపాల్ విఫలమైంది.
• శిక్షణ లేకపోవడం: IRS ఫారం 1099-K మార్పులను అమలు చేయడానికి బాధ్యత వహించే జట్లు పేపాల్ యొక్క దరఖాస్తు అభివృద్ధి ప్రక్రియలపై శిక్షణ పొందలేదు.
• బలహీనమైన ప్రాప్యత నియంత్రణలు: అనధికార ప్రాప్యతను నివారించడానికి కంపెనీ మల్టీఫ్యాక్టర్ ప్రామాణీకరణ (MFA) ను అమలు చేయలేదు లేదా క్యాప్చా లేదా రేటు-పరిమితం చేసే నియంత్రణలను అమలు చేయలేదు.
• విధాన లోపాలు: పేపాల్ యాక్సెస్ నియంత్రణలు, గుర్తింపు నిర్వహణ మరియు డేటా రక్షణను పరిష్కరించే బలమైన వ్రాతపూర్వక విధానాలు లేవు.

సూపరింటెండెంట్ అడ్రియన్ ఎ. హారిస్ వినియోగదారుల డేటాను రక్షించడంలో బలమైన సైబర్‌ సెక్యూరిటీ చర్యల యొక్క ప్రాముఖ్యతను నొక్కి చెప్పారు.

Nnice Ransomware Attacks Windows Systems Using Advanced Encryption Techniques

“న్యూయార్క్ యొక్క దేశ-ప్రముఖ సైబర్‌ సెక్యూరిటీ రెగ్యులేషన్ సున్నితమైన సమాచారాన్ని రక్షించడానికి మరియు ఆర్థిక సంస్థల స్థితిస్థాపకతను నిర్ధారించడానికి ఒక క్లిష్టమైన ప్రమాణాన్ని నిర్దేశిస్తుంది” అని ఆమె పేర్కొంది.

ఈ ఉల్లంఘనను తగ్గించగల MFA మరియు క్యాప్చా వంటి ప్రాథమిక రక్షణలను అమలు చేయడంలో పేపాల్ విఫలమైందని హారిస్ విమర్శించాడు.

NYDFS సైబర్‌ సెక్యూరిటీ రెగ్యులేషన్ మార్చి 2017 నుండి అమలులో ఉంది మరియు ఇటీవల ఆర్థిక సంస్థలపై కఠినమైన అవసరాలు విధించడానికి ఇటీవల నవంబర్ 2023 లో సవరించబడింది.

వీటిలో 72 గంటల్లో సైబర్‌ సెక్యూరిటీ సంఘటనల తప్పనిసరి రిపోర్టింగ్ మరియు మెరుగైన యాక్సెస్ కంట్రోల్ మెకానిజమ్స్ ఉన్నాయి.

పేపాల్ యొక్క నివారణ ప్రయత్నాలు

ఉల్లంఘన తరువాత, నష్టాన్ని తగ్గించడానికి పేపాల్ తక్షణ చర్య తీసుకున్నాడు:

New Supply Chain Attack Injects Malicious Code Into Chrome Extensions

• క్యాప్చా మరియు రేటు-పరిమితం చేసే నియంత్రణలను అమలు చేసింది.
• ముసుగు బహిర్గతమైన కస్టమర్ డేటా.
• ప్రభావిత ఖాతాల కోసం పాస్‌వర్డ్‌లను రీసెట్ చేయండి.
• అన్ని యుఎస్ ఆధారిత ఖాతాలకు MFA తప్పనిసరి చేసింది.
• సురక్షిత అనువర్తన అభివృద్ధిపై మెరుగైన ఉద్యోగుల శిక్షణ.

పేపాల్ ప్రతినిధి “కస్టమర్ డేటాను రక్షించడం అగ్ర ప్రాధాన్యతగా ఉంది మరియు మేము మా నియంత్రణ బాధ్యతలను తీవ్రంగా పరిగణిస్తాము” అని పేర్కొన్నారు.

ఈ సంఘటన NYDFS- నియంత్రిత ఫిన్‌టెక్ కంపెనీలకు లోబడి పెరిగిన నియంత్రణ పరిశీలనను హైలైట్ చేస్తుంది. పేలవమైన సైబర్‌ సెక్యూరిటీ విధానాల పరిణామాల గురించి హెచ్చరికగా ఆర్థిక సంస్థలు million 2 మిలియన్ల జరిమానాలను గమనించాలి.

సైబర్ బెదిరింపులు అభివృద్ధి చెందుతున్నప్పుడు, సున్నితమైన కస్టమర్ డేటాను రక్షించడానికి మరియు ప్రజల నమ్మకాన్ని కొనసాగించడానికి ఆర్థిక సంస్థలు బలమైన భద్రతా చట్రాలకు అనుగుణంగా ఉండాలి.