El Departamento de Servicios Financieros (DFS) del Estado de Nueva York finalmente ordenó a PayPal pagar un acuerdo de 2 millones de dólares por una violación de datos de hace tres años. El 18 de enero de 2023, PayPal anunció que sufrió una violación masiva de datos que llevó a los ciberdelincuentes a acceder a información personal confidencial de los clientes.
PayPal tiene que pagar un acuerdo de 2 millones de dólares por una violación de datos a partir de 2022
En el orden de consentimiento de fecha 23 de enero de 2025se mencionan eventos relacionados con esa violación de datos. Según el documento, un analista de seguridad alertó a PayPal sobre un mensaje en línea «PP EXPLOTAR PARA OBTENER SSN”el 6 de diciembre de 2022. Una URL adjunta al mensaje redirigía a los usuarios al sitio web de PayPal para verificar sus números de seguro social (SSN).
El mismo día, PayPal notó que el formulario 1099-K disponible en el sitio web de PayPal había desenmascarado información del cliente. Esto incluía detalles como nombres, fecha de nacimiento y números de seguro social completos. Los ciberdelincuentes podrían acceder a esos detalles durante unas siete semanas, señaló Adrienne A. Harris, Superintendente de Servicios Financieros.
Al día siguiente, 7 de diciembre, el equipo de ciberseguridad de PayPal notó un aumento en los intentos de acceder a su sitio web mediante relleno de credenciales. El motivo fue “para obtener acceso al NPI disponible en el Formulario 1099-Ks desenmascarado.«El DFS concluyó que PayPal no utilizó personal calificado para manejar funciones clave de ciberseguridad ni capacitó adecuadamente su personal.
El organismo investigador también descubrió que la práctica anterior de PayPal no requería autenticación multifactor (MFA) o CAPTCHA para evitar el acceso no autorizado. Vale la pena señalar que PayPal recibió una multa de 2 millones de dólares por violar la regulación de ciberseguridad del DFS implementada en 2017.
PayPal también tendrá que garantizar que todos los clientes de EE. UU. utilicen MFA para iniciar sesión.
La orden de consentimiento requiere además que todos los usuarios de PayPal en los EE. UU. utilicen la autenticación multifactor (MFA) para iniciar sesión en sus cuentas. Como tecnología continúa mejorando cada día, los ciberdelincuentes están desarrollando sus trucos para violar los sistemas. Entonces, si estás buscando impedir el acceso no autorizado a sus cuentas en línea, es mejor configurar la autenticación multifactor.
Fuente: Android Headlines