PayPal Was Fined 2 Million for Cybersecurity Vulnerabilities

న్యూయార్క్ స్టేట్ డిపార్ట్మెంట్ ఆఫ్ ఫైనాన్షియల్ సర్వీసెస్ (NYDFS) దాని కఠినమైన సైబర్‌ సెక్యూరిటీ నిబంధనల ఉల్లంఘనల కోసం పేపాల్, ఇంక్‌లో 2 మిలియన్ల జరిమానా విధించింది.

పేపాల్ యొక్క సైబర్‌ సెక్యూరిటీ పద్ధతుల్లో వైఫల్యాల నుండి జరిమానా ఉంది, ఇది డిసెంబర్ 2022 లో డేటా ఉల్లంఘనకు దారితీసింది, సామాజిక భద్రత సంఖ్యలు (ఎస్‌ఎస్‌ఎన్‌లు), పేర్లు మరియు పుట్టిన తేదీలతో సహా సున్నితమైన కస్టమర్ సమాచారాన్ని బహిర్గతం చేస్తుంది.

పేపాల్ దాని డేటా ప్రవాహాలకు మార్పులను అమలు చేసిన తరువాత ఈ ఉల్లంఘన జరిగింది, IRS ఫారం 1099-లను విస్తృత కస్టమర్ స్థావరానికి ప్రాప్యత చేస్తుంది.

ఉల్లంఘన మరియు దాని పరిణామాలు

ఏదేమైనా, రోల్‌అవుట్‌కు బాధ్యత వహించే ఇంజనీరింగ్ బృందం ఈ ప్రాజెక్టును కొత్త ఫీచర్ కాకుండా ప్లాట్‌ఫాం వలసగా వర్గీకరించింది.

ఈ పర్యవేక్షణ పేపాల్ యొక్క సొంత విధానాల క్రింద క్లిష్టమైన రిస్క్ అసెస్‌మెంట్‌లు మరియు బలహీనత స్కాన్‌లను దాటవేసింది. పర్యవసానంగా, నవీకరించబడిన ఫారమ్‌లు అన్‌మాస్క్ చేయని కస్టమర్ డేటాతో ప్రత్యక్ష ప్రసారం అయ్యాయి.

Chrome Security Update Fixes Memory Corruption and Access Vulnerabilities

క్రెడెన్షియల్ స్టఫింగ్ అటాక్ ద్వారా హ్యాకర్లు ఈ దుర్బలత్వాలను దోపిడీ చేశారు-అనధికార ప్రాప్యతను పొందడానికి ఇతర ఉల్లంఘనల నుండి దొంగిలించబడిన వినియోగదారు పేరు-పాస్‌వర్డ్ కలయికలు ఉపయోగించబడతాయి.

డిసెంబర్ 6 మరియు డిసెంబర్ 8, 2022 మధ్య, సుమారు 35,000 ఖాతాలు రాజీ పడ్డాయి. దాడి చేసేవారు SSN లు మరియు పన్ను గుర్తింపు సంఖ్యలతో సహా సున్నితమైన నాన్ -పబ్లిక్ ఇన్ఫర్మేషన్ (NPI) ను యాక్సెస్ చేశారు.

అనధికార లావాదేవీలు ఏవీ నివేదించబడనప్పటికీ, ఉల్లంఘన వినియోగదారులను గుర్తింపు దొంగతనం ప్రమాదాలకు గురిచేసింది.

నియంత్రణ ఉల్లంఘనలు

NYDFS యొక్క దర్యాప్తులో పేపాల్ దాని సైబర్‌ సెక్యూరిటీ ఫ్రేమ్‌వర్క్‌తో ఉన్న సమ్మతిలో బహుళ లోపాలు వెల్లడించింది, ఇందులో ఇవి ఉన్నాయి:

• అర్హత లేని సైబర్ భద్రతా సిబ్బంది: క్లిష్టమైన సైబర్‌ సెక్యూరిటీ ఫంక్షన్లను పర్యవేక్షించడానికి తగినంత శిక్షణ పొందిన సిబ్బందిని నియమించడంలో పేపాల్ విఫలమైంది.
• శిక్షణ లేకపోవడం: IRS ఫారం 1099-K మార్పులను అమలు చేయడానికి బాధ్యత వహించే జట్లు పేపాల్ యొక్క దరఖాస్తు అభివృద్ధి ప్రక్రియలపై శిక్షణ పొందలేదు.
• బలహీనమైన ప్రాప్యత నియంత్రణలు: అనధికార ప్రాప్యతను నివారించడానికి కంపెనీ మల్టీఫ్యాక్టర్ ప్రామాణీకరణ (MFA) ను అమలు చేయలేదు లేదా క్యాప్చా లేదా రేటు-పరిమితం చేసే నియంత్రణలను అమలు చేయలేదు.
• విధాన లోపాలు: పేపాల్ యాక్సెస్ నియంత్రణలు, గుర్తింపు నిర్వహణ మరియు డేటా రక్షణను పరిష్కరించే బలమైన వ్రాతపూర్వక విధానాలు లేవు.

సూపరింటెండెంట్ అడ్రియన్ ఎ. హారిస్ వినియోగదారుల డేటాను రక్షించడంలో బలమైన సైబర్‌ సెక్యూరిటీ చర్యల యొక్క ప్రాముఖ్యతను నొక్కి చెప్పారు.

“న్యూయార్క్ యొక్క దేశ-ప్రముఖ సైబర్‌ సెక్యూరిటీ రెగ్యులేషన్ సున్నితమైన సమాచారాన్ని రక్షించడానికి మరియు ఆర్థిక సంస్థల స్థితిస్థాపకతను నిర్ధారించడానికి ఒక క్లిష్టమైన ప్రమాణాన్ని నిర్దేశిస్తుంది” అని ఆమె పేర్కొంది.

Nnice Ransomware Attacks Windows Systems Using Advanced Encryption Techniques

ఈ ఉల్లంఘనను తగ్గించగల MFA మరియు క్యాప్చా వంటి ప్రాథమిక రక్షణలను అమలు చేయడంలో పేపాల్ విఫలమైందని హారిస్ విమర్శించాడు.

NYDFS సైబర్‌ సెక్యూరిటీ రెగ్యులేషన్ మార్చి 2017 నుండి అమలులో ఉంది మరియు ఇటీవల ఆర్థిక సంస్థలపై కఠినమైన అవసరాలు విధించడానికి ఇటీవల నవంబర్ 2023 లో సవరించబడింది.

వీటిలో 72 గంటల్లో సైబర్‌ సెక్యూరిటీ సంఘటనల తప్పనిసరి రిపోర్టింగ్ మరియు మెరుగైన యాక్సెస్ కంట్రోల్ మెకానిజమ్స్ ఉన్నాయి.

పేపాల్ యొక్క నివారణ ప్రయత్నాలు

ఉల్లంఘన తరువాత, నష్టాన్ని తగ్గించడానికి పేపాల్ తక్షణ చర్య తీసుకున్నాడు:

• క్యాప్చా మరియు రేటు-పరిమితం చేసే నియంత్రణలను అమలు చేసింది.
• ముసుగు బహిర్గతమైన కస్టమర్ డేటా.
• ప్రభావిత ఖాతాల కోసం పాస్‌వర్డ్‌లను రీసెట్ చేయండి.
• అన్ని యుఎస్ ఆధారిత ఖాతాలకు MFA తప్పనిసరి చేసింది.
• సురక్షిత అనువర్తన అభివృద్ధిపై మెరుగైన ఉద్యోగుల శిక్షణ.

పేపాల్ ప్రతినిధి “కస్టమర్ డేటాను రక్షించడం అగ్ర ప్రాధాన్యతగా ఉంది మరియు మేము మా నియంత్రణ బాధ్యతలను తీవ్రంగా పరిగణిస్తాము” అని పేర్కొన్నారు.

ఈ సంఘటన NYDFS- నియంత్రిత ఫిన్‌టెక్ కంపెనీలకు లోబడి పెరిగిన నియంత్రణ పరిశీలనను హైలైట్ చేస్తుంది. పేలవమైన సైబర్‌ సెక్యూరిటీ విధానాల పరిణామాల గురించి హెచ్చరికగా ఆర్థిక సంస్థలు million 2 మిలియన్ల జరిమానాలను గమనించాలి.

New Supply Chain Attack Injects Malicious Code Into Chrome Extensions

సైబర్ బెదిరింపులు అభివృద్ధి చెందుతున్నప్పుడు, సున్నితమైన కస్టమర్ డేటాను రక్షించడానికి మరియు ప్రజల నమ్మకాన్ని కొనసాగించడానికి ఆర్థిక సంస్థలు బలమైన భద్రతా చట్రాలకు అనుగుణంగా ఉండాలి.