Lo Stato di New York ha annunciato un accordo da 2.000.000 di dollari con PayPal. L’azienda non avrebbe infatti rispettato le normative statali sulla sicurezza informatica e ciò ha portato a una violazione dei dati nel 2022. L'azione del Dipartimento dei servizi finanziari (DFS) afferma che gli hacker hanno sfruttato le lacune di sicurezza nei sistemi di PayPal. Grazie a ciò sono stati effettuati attacchi di credential stuffing che hanno fornito l'accesso a informazioni sensibili dei clienti. Nel 2023, PayPal ha rivelato che gli autori delle minacce hanno condotto un attacco di credential stuffing su larga scala tra il 6 e l'8 dicembre 2022, in cui sono stati violati 35.000 account. I dati resi pubblici all'epoca comprendevano nomi completi, date di nascita, indirizzi postali, numeri di previdenza sociale e numeri di identificazione fiscale individuali.
L'annuncio del DFS di New York fa più luce sulla violazione. Tra le falle nella sicurezza di PayPal vi è stato un errore nel modo in cui i moduli fiscali 1099-K sono stati distribuiti sulla piattaforma. Come spiegato dal DFS: "I dati dei clienti sono stati esposti dopo che PayPal ha implementato modifiche ai flussi di dati esistenti per rendere i moduli IRS 1099-K disponibili a un numero maggiore di clienti. Tuttavia, i team incaricati di implementare queste modifiche non erano formati sui sistemi e sui processi di sviluppo delle applicazioni di PayPal. Di conseguenza, non sono riusciti a seguire le procedure appropriate prima che le modifiche diventassero attive". In seguito all'implementazione errata, i criminali informatici in possesso di credenziali valide per gli account PayPal sono stati in grado di accedere a tali account e ai loro moduli 1099-K. Grazie a ciò hanno rivelato molte informazioni sensibili.
PayPal: mitigazioni da parte dell’azienda avvenute troppo tardi
Il successo di questi attacchi di "credential stuffing" dipendeva dalla mancanza di protezione dell'autenticazione multifattoriale (MFA), all'epoca non obbligatoria sulla piattaforma. Inoltre, spesso vi erano controlli di accesso deboli che consentivano tentativi di accesso automatizzati senza CAPTCHA o limitazione della velocità. Ciò ha costituito un fallimento di conformità chiave per PayPal. L'ordine di consenso specifica le violazioni delle normative 23 NYCRR § 500.3, 500.10 e 500.12 del New York Cybersecurity Regulation. L’accusa riguarda la mancata implementazione di adeguate policy di sicurezza informatica, formazione del personale e controlli di autenticazione. Sebbene PayPal abbia adottato diverse misure correttive in seguito alla scoperta della violazione, tutto ciò è avvenuto troppo tardi. I termini dell'accordo impongono a PayPal di pagare una multa di 2 milioni di dollari entro 10 giorni. DFS di New York ha annunciato infine che non verranno intraprese ulteriori azioni, a meno che il non vengano scoperte nuove violazioni.