사이버 보안 실패로 뉴욕에서 벌금을 부과받은 PayPal

페이팔 PYPL는 2022년 말 고객의 사회보장번호가 노출된 사이버 보안 실패로 인해 2백만 달러의 민사 벌금을 지불할 것이라고 뉴욕주 금융서비스부가 목요일 밝혔다.

뉴욕의 금융 서비스 감독관인 아드리안 해리스(Adrienne Harris)는 자신의 사무실에서 실시한 조사에서 PayPal이 주요 사이버 보안 기능을 관리하거나 사이버 보안 위험을 해결하기 위한 적절한 교육을 제공하는 데 자격을 갖춘 직원을 사용하지 않았다는 사실을 발견했다고 말했습니다.

이로 인해 캘리포니아 산호세에 본사를 둔 디지털 결제 회사 고객의 이름, 생년월일, 사회보장번호가 약 7주 동안 사이버 범죄자들이 쉽게 접근할 수 있게 되었다고 그녀는 말했습니다.

PayPal은 조사에 협조했습니다. 하지만 논평 요청에 즉시 응답하지 않았습니다.

동의 명령서에 따르면 PayPal은 2022년 12월 6일 보안 분석가가 "PP EXPLOIT TO GET SSN"이라는 온라인 메시지를 읽은 후 이 문제를 발견했습니다

다음 날 PayPal의 사이버 보안팀은 온라인 플랫폼에 접속하려는 시도가 급증하는 것을 확인하고 사이버 범죄자들이 '크리덴셜 스터핑'을 사용하여 수만 명의 고객의 연방 세금 양식을 열람하고 있다는 사실을 확인했습니다.

더 많은 고객이 양식을 사용할 수 있도록 기존 데이터 흐름을 변경한 후 데이터가 노출되었습니다.

해리스는 또한 무단 액세스를 방지하기 위해 고객에게 다단계 인증이나 보안 문자와 같은 제어 기능을 사용하도록 요구하지 않은 PayPal의 잘못도 지적했습니다.

2017년에 채택된 금융 서비스 부서의 사이버 보안 규정을 위반했다는 이유로 벌금이 부과되었습니다.

페이팔은 CAPTCHA를 도입하는 등 보안을 업그레이드했다고 동의 명령은 밝혔습니다.