Compliance
O acordo surge após falhas de cibersegurança da empresa terem resultado num ataque em dezembro de 2022 que expôs dados confidenciais de 35 mil contas de PayPal
28/01/2025
|
O estado de Nova Iorque anunciou que a PayPal vai pagar dois milhões de dólares após um acordo por acusações de não conformidade com os regulamentos de cibersegurança do estado, que resultou numa violação de dados em 2022. O Departamento de Serviços Financeiros (DFS) refere que os agentes de ameaças aproveitaram as falhas de segurança nos sistemas PayPal para realizar ataques de preenchimento de credenciais que deram acesso a informações confidenciais dos clientes. Em 2023, o PayPal divulgou que os cibercriminosos realizaram um ataque de preenchimento de credenciais em grande escala entre os dias seis e oito de dezembro de 2022, onde 35 mil contas foram afetadas. Os dados roubados e expostos na altura incluíam nomes completos, datas de nascimento, códigos postais, números de segurança social e números de identificação fiscal. O anúncio do DFS de Nova Iorque revela novas informações sobre o ataque, explicando que uma das falhas de segurança da empresa de pagamentos online foi um erro na forma como os formulários 1099-K foram distribuídos na plataforma. “Os dados dos clientes foram expostos depois de o PayPal ter implementado alterações nos fluxos de dados existentes para disponibilizar os formulários 1099-K do IRS a mais clientes”, destaca a DFS. “No entanto, as equipas encarregues de implementar estas alterações não foram formadas nos sistemas e processos de desenvolvimento de aplicações do PayPal. Como resultado, falharam em seguir os procedimentos adequados antes de as alterações irem para o ar”. O sucesso destes ataques de “preenchimento de credenciais” dependia da falta de proteção de autenticação multifator (MFA) e combinado com fracos controlos de acesso que permitem tentativas de login automatizadas sem CAPTCHA ou limitação de taxa, criou falhas de compliance importantes para o PayPal. Apesar de o PayPal ter tomado várias medidas de mitigação após a descoberta do ataque, o que incluiu mascarar dados confidenciais nos formulários de IRS, implementar CAPTCHA e limitação de taxas e tornar o MFA obrigatório em todas as contas de clientes dos EUA, de acordo com o DFS, isto aconteceu demasiado tarde. |
Receba todas as novidades na sua caixa de correio!
S.LABS
NIS2: a nova Diretiva da União Europeia para segurança cibernética
S.LABS
NIS2 em Portugal: transposição, desafios e oportunidades
ITS CONF
“Continuamos a achar que a cibersegurança é responsabilidade do IT”: visão holística em debate (com vídeo)
ITS CONF
“A cibersegurança é uma responsabilidade coletiva”: especialistas alertam para urgência na aplicação da NIS2 em Portugal (com vídeo)
ITS CONF
Check Point: “Muitos utilizadores colocam informação sensível em motores de IA generativa” (com vídeo)
COMPLIANCE
Líderes de compliance devem ter comunicação consistente para gerir risco de terceiros
COMPLIANCE
Entre normas e exigências: Como navegar na cibersegurança da UE
COMPLIANCE
Incerteza política ameaça transposição da NIS2 e pode expor Portugal a coimas da UE
COMPLIANCE
ISO 27002: a norma que sela a confiança empresarial na era digital
COMPLIANCE
Conselho de Ministros aprova proposta de lei para transpor NIS2
