న్యూయార్క్ స్టేట్ డిపార్ట్మెంట్ ఆఫ్ ఫైనాన్షియల్ సర్వీసెస్ (NYDFS) దాని కఠినమైన సైబర్ సెక్యూరిటీ నిబంధనల ఉల్లంఘనల కోసం పేపాల్, ఇంక్లో 2 మిలియన్ల జరిమానా విధించింది.
పేపాల్ యొక్క సైబర్ సెక్యూరిటీ పద్ధతుల్లో వైఫల్యాల నుండి జరిమానా ఉంది, ఇది డిసెంబర్ 2022 లో డేటా ఉల్లంఘనకు దారితీసింది, సామాజిక భద్రత సంఖ్యలు (ఎస్ఎస్ఎన్లు), పేర్లు మరియు పుట్టిన తేదీలతో సహా సున్నితమైన కస్టమర్ సమాచారాన్ని బహిర్గతం చేస్తుంది.
పేపాల్ దాని డేటా ప్రవాహాలకు మార్పులను అమలు చేసిన తరువాత ఈ ఉల్లంఘన జరిగింది, IRS ఫారం 1099-లను విస్తృత కస్టమర్ స్థావరానికి ప్రాప్యత చేస్తుంది.
ఉల్లంఘన మరియు దాని పరిణామాలు
ఏదేమైనా, రోల్అవుట్కు బాధ్యత వహించే ఇంజనీరింగ్ బృందం ఈ ప్రాజెక్టును కొత్త ఫీచర్ కాకుండా ప్లాట్ఫాం వలసగా వర్గీకరించింది.
ఈ పర్యవేక్షణ పేపాల్ యొక్క సొంత విధానాల క్రింద క్లిష్టమైన రిస్క్ అసెస్మెంట్లు మరియు బలహీనత స్కాన్లను దాటవేసింది. పర్యవసానంగా, నవీకరించబడిన ఫారమ్లు అన్మాస్క్ చేయని కస్టమర్ డేటాతో ప్రత్యక్ష ప్రసారం అయ్యాయి.
క్రెడెన్షియల్ స్టఫింగ్ అటాక్ ద్వారా హ్యాకర్లు ఈ దుర్బలత్వాలను దోపిడీ చేశారు-అనధికార ప్రాప్యతను పొందడానికి ఇతర ఉల్లంఘనల నుండి దొంగిలించబడిన వినియోగదారు పేరు-పాస్వర్డ్ కలయికలు ఉపయోగించబడతాయి.
డిసెంబర్ 6 మరియు డిసెంబర్ 8, 2022 మధ్య, సుమారు 35,000 ఖాతాలు రాజీ పడ్డాయి. దాడి చేసేవారు SSN లు మరియు పన్ను గుర్తింపు సంఖ్యలతో సహా సున్నితమైన నాన్ -పబ్లిక్ ఇన్ఫర్మేషన్ (NPI) ను యాక్సెస్ చేశారు.
అనధికార లావాదేవీలు ఏవీ నివేదించబడనప్పటికీ, ఉల్లంఘన వినియోగదారులను గుర్తింపు దొంగతనం ప్రమాదాలకు గురిచేసింది.
నియంత్రణ ఉల్లంఘనలు
NYDFS యొక్క దర్యాప్తులో పేపాల్ దాని సైబర్ సెక్యూరిటీ ఫ్రేమ్వర్క్తో ఉన్న సమ్మతిలో బహుళ లోపాలు వెల్లడించింది, ఇందులో ఇవి ఉన్నాయి:
అర్హత లేని సైబర్ భద్రతా సిబ్బంది: క్లిష్టమైన సైబర్ సెక్యూరిటీ ఫంక్షన్లను పర్యవేక్షించడానికి తగినంత శిక్షణ పొందిన సిబ్బందిని నియమించడంలో పేపాల్ విఫలమైంది.
శిక్షణ లేకపోవడం: IRS ఫారం 1099-K మార్పులను అమలు చేయడానికి బాధ్యత వహించే జట్లు పేపాల్ యొక్క దరఖాస్తు అభివృద్ధి ప్రక్రియలపై శిక్షణ పొందలేదు.
బలహీనమైన ప్రాప్యత నియంత్రణలు: అనధికార ప్రాప్యతను నివారించడానికి కంపెనీ మల్టీఫ్యాక్టర్ ప్రామాణీకరణ (MFA) ను అమలు చేయలేదు లేదా క్యాప్చా లేదా రేటు-పరిమితం చేసే నియంత్రణలను అమలు చేయలేదు.
విధాన లోపాలు: పేపాల్ యాక్సెస్ నియంత్రణలు, గుర్తింపు నిర్వహణ మరియు డేటా రక్షణను పరిష్కరించే బలమైన వ్రాతపూర్వక విధానాలు లేవు.
సూపరింటెండెంట్ అడ్రియన్ ఎ. హారిస్ వినియోగదారుల డేటాను రక్షించడంలో బలమైన సైబర్ సెక్యూరిటీ చర్యల యొక్క ప్రాముఖ్యతను నొక్కి చెప్పారు.
“న్యూయార్క్ యొక్క దేశ-ప్రముఖ సైబర్ సెక్యూరిటీ రెగ్యులేషన్ సున్నితమైన సమాచారాన్ని రక్షించడానికి మరియు ఆర్థిక సంస్థల స్థితిస్థాపకతను నిర్ధారించడానికి ఒక క్లిష్టమైన ప్రమాణాన్ని నిర్దేశిస్తుంది” అని ఆమె పేర్కొంది.
ఈ ఉల్లంఘనను తగ్గించగల MFA మరియు క్యాప్చా వంటి ప్రాథమిక రక్షణలను అమలు చేయడంలో పేపాల్ విఫలమైందని హారిస్ విమర్శించాడు.
NYDFS సైబర్ సెక్యూరిటీ రెగ్యులేషన్ మార్చి 2017 నుండి అమలులో ఉంది మరియు ఇటీవల ఆర్థిక సంస్థలపై కఠినమైన అవసరాలు విధించడానికి ఇటీవల నవంబర్ 2023 లో సవరించబడింది.
వీటిలో 72 గంటల్లో సైబర్ సెక్యూరిటీ సంఘటనల తప్పనిసరి రిపోర్టింగ్ మరియు మెరుగైన యాక్సెస్ కంట్రోల్ మెకానిజమ్స్ ఉన్నాయి.
ఉల్లంఘన తరువాత, నష్టాన్ని తగ్గించడానికి పేపాల్ తక్షణ చర్య తీసుకున్నాడు:
క్యాప్చా మరియు రేటు-పరిమితం చేసే నియంత్రణలను అమలు చేసింది.
ముసుగు బహిర్గతమైన కస్టమర్ డేటా.
ప్రభావిత ఖాతాల కోసం పాస్వర్డ్లను రీసెట్ చేయండి.
అన్ని యుఎస్ ఆధారిత ఖాతాలకు MFA తప్పనిసరి చేసింది.
సురక్షిత అనువర్తన అభివృద్ధిపై మెరుగైన ఉద్యోగుల శిక్షణ.
పేపాల్ ప్రతినిధి “కస్టమర్ డేటాను రక్షించడం అగ్ర ప్రాధాన్యతగా ఉంది మరియు మేము మా నియంత్రణ బాధ్యతలను తీవ్రంగా పరిగణిస్తాము” అని పేర్కొన్నారు.
ఈ సంఘటన NYDFS- నియంత్రిత ఫిన్టెక్ కంపెనీలకు లోబడి పెరిగిన నియంత్రణ పరిశీలనను హైలైట్ చేస్తుంది. పేలవమైన సైబర్ సెక్యూరిటీ విధానాల పరిణామాల గురించి హెచ్చరికగా ఆర్థిక సంస్థలు million 2 మిలియన్ల జరిమానాలను గమనించాలి.
సైబర్ బెదిరింపులు అభివృద్ధి చెందుతున్నప్పుడు, సున్నితమైన కస్టమర్ డేటాను రక్షించడానికి మరియు ప్రజల నమ్మకాన్ని కొనసాగించడానికి ఆర్థిక సంస్థలు బలమైన భద్రతా చట్రాలకు అనుగుణంగా ఉండాలి.
