В Нью-Йорке наложен штраф на компанию PayPal за несоблюдение мер по обеспечению кибербезопасности

2025-01-24T15:44:11+03:00

В Нью-Йорке наложен штраф на компанию PayPal за несоблюдение мер по обеспечению кибербезопасности. В четверг Департамент финансовых услуг штата Нью-Йорк сообщил о том, что компания PayPal будет вынуждена выплатить штраф в размере двух миллионов долларов за нарушения в сфере кибербезопасности, которые привели к утечке данных клиентов. По словам Адриенны Харрис, занимающей должность суперинтенданта финансовых услуг Нью-Йорка, в ходе расследования было установлено, что компания не обеспечила надлежащий уровень безопасности и не провела необходимое обучение персонала. В результате этого имена, даты рождения и номера социального страхования клиентов, использующих сервис цифровых платежей в Сан-Хосе (Калифорния), оставались доступными для злоумышленников в течение примерно семи недель. PayPal активно сотрудничал с расследованием. В заявлении компании отмечается, что защита личной информации клиентов и обеспечение безопасности платформы являются приоритетными задачами, и компания серьёзно относится к своим обязательствам в соответствии с законодательством. Проблема была обнаружена 6 декабря 2022 года, когда аналитик по безопасности обнаружил сообщение в сети, в котором говорилось: «PP EXPLOIT TO GET SSN». На следующий день команда по кибербезопасности PayPal зафиксировала всплеск попыток доступа к платформе и обнаружила, что злоумышленники использовали «подмену учётных данных» для просмотра федеральных налоговых форм десятков тысяч клиентов. Данные были раскрыты после того, как компания внесла изменения в существующие потоки данных, чтобы сделать формы доступными для большего числа клиентов. Харрис также обвинила компанию в том, что она не требует от клиентов использовать многофакторную аутентификацию или такие средства контроля, как CAPTCHA, для предотвращения несанкционированного доступа. Штраф был назначен в соответствии с правилами кибербезопасности, установленными Департаментом финансовых услуг в 2017 году. В постановлении о согласии говорится, что теперь компания требует многофакторную аутентификацию для всех учётных записей клиентов в США, проводит принудительную смену паролей на затронутых учётных записях и внедряет CAPTCHA. Источник: www.reuters.com