((Traduction automatisée par Reuters, veuillez consulter la clause de non-responsabilité https://bit.ly/rtrsauto))
*
Les numéros de sécurité sociale des clients ont été exposés
*
Les cybercriminels ont utilisé la technique du "credential stuffing" pour consulter les données
*
PayPal a renforcé sa sécurité et coopéré à l'enquête des autorités de régulation
(Ajout d'une déclaration de PayPal, d'une mesure de sécurité supplémentaire, des paragraphes 4 et 10) par Jonathan Stempel
PayPal PYPL.O va payer une amende civile de 2 millions de dollars pour les défaillances de cybersécurité qui ont conduit à l'exposition des numéros de sécurité sociale des clients à la fin de 2022, a déclaré jeudi le Département des services financiers de l'État de New York.
Adrienne Harris, la surintendante des services financiers de New York, a déclaré qu'une enquête menée par son bureau avait révélé que PayPal n'avait pas fait appel à du personnel qualifié pour gérer les fonctions clés de cybersécurité ou n'avait pas fourni une formation adéquate pour faire face aux risques de cybersécurité.
Les noms, dates de naissance et numéros de sécurité sociale des clients de la société de paiement numérique basée à San Jose, en Californie, ont ainsi été facilement accessibles aux cybercriminels pendant environ sept semaines.
PayPal a coopéré à l'enquête. "La protection des informations personnelles des consommateurs et le maintien d'une plateforme sécurisée sont pour nous une priorité absolue et nous prenons nos responsabilités réglementaires au sérieux", a déclaré la société dans un communiqué.
Selon l'ordonnance de consentement, PayPal a découvert le problème après qu'un analyste de la sécurité a lu, le 6 décembre 2022, un message en ligne indiquant "PP EXPLOIT TO GET SSN" (PP EXPLOIT POUR OBTENIR LE SSN)
Le lendemain, l'équipe de cybersécurité de PayPal a constaté un pic dans les tentatives d'accès à sa plateforme en ligne et a déterminé que les cybercriminels utilisaient le "credential stuffing" pour visualiser les formulaires fiscaux fédéraux de dizaines de milliers de clients.
Les données ont été exposées après que PayPal a modifié les flux de données existants afin de pouvoir mettre les formulaires à la disposition d'un plus grand nombre de clients.
M. Harris a également reproché à PayPal de ne pas avoir exigé de ses clients qu'ils utilisent l'authentification multifactorielle ou des contrôles tels que les CAPTCHA pour empêcher tout accès non autorisé.
L'amende a été infligée pour avoir enfreint le règlement sur la cybersécurité du département des services financiers, adopté en 2017.
PayPal exige désormais une authentification multifactorielle sur tous les comptes clients américains, a forcé la réinitialisation des mots de passe sur les comptes concernés et a mis en œuvre le CAPTCHA, selon l'ordonnance de consentement.
0 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer