PayPal因安全漏洞被罚款200万美元

PayPal因网络安全问题而遭到纽约金融监管机构纽约州金融服务部（DFS）的200万美元罚款。这起罚款源于2022年12月发生的数据泄露事件。

这次泄露使许多客户的个人信息处于风险之中，包括他们的社会保障号码、电子邮件地址和姓名。DFS调查发现PayPal在网络安全方法方面存在重大问题。该公司没有为重要的网络安全职位招聘合格的人才，并且没有足够的培训来帮助减少网络安全风险。这些问题直接与安全漏洞有关。

虽然黑客攻击通常不是公司的过错，但如果公司没有确保自身的安全，就会让用户面临风险。一次安全漏洞利用了在改善客户访问IRS Form 1099-Ks时引入的弱点。做出这些更改的团队缺乏对PayPal系统的了解以及如何开发应用程序的培训，导致出现了错误。

因此，黑客使用了一种称为凭证填充的方法，尝试了大量登录信息，直到找到一个有效信息以获取访问权限。一旦他们获得了被盗的登录信息，就可以访问包含私人客户信息的表单。

DFS发现PayPal的安全性不够强，允许了凭证填充攻击。调查还揭示PayPal没有书面规则来管理访问、处理身份或保护客户数据。此外，PayPal没有有效的措施来阻止未经授权的访问，如多因素认证、验证码或限制某人尝试登录的次数。

200万美元的罚款对于如此大的公司来说并不多，但更有效的惩罚是公众看到PayPal是多么不安全。这表明了该公司网络安全问题的严重性。PayPal似乎已经解决了发现的问题，并改进了其网络安全实践。这些更改旨在防止类似问题再次发生。

来源：DFS via TechRadar