Kundendaten durch unzureichende Cybersicherheitsmaßnahmen offengelegt
Die Finanzaufsichtsbehörde des Bundesstaates New York (DFS) hat PayPal wegen gravierender Sicherheitsmängel zu einer Geldstrafe von 2 Millionen Dollar verurteilt. Diese Verstöße führten dazu, dass sensible Kundendaten wie Sozialversicherungsnummern, Namen und Geburtsdaten Ende 2022 für Cyberkriminelle zugänglich waren.
Adrienne Harris, die Leiterin der New Yorker Finanzaufsicht, erklärte, dass PayPal weder ausreichend qualifizierte Cybersicherheitsexperten einsetzte noch seine Mitarbeiter im Umgang mit Sicherheitsrisiken schulte. Dies habe eine Schwachstelle geschaffen, die Kundendaten über einen Zeitraum von sieben Wochen ungeschützt ließ.
Das Problem wurde am 6. Dezember 2022 entdeckt, als ein Sicherheitsanalyst von PayPal eine Online-Nachricht mit dem Titel „PP EXPLOIT TO GET SSN“ fand. Am nächsten Tag meldete das Cybersicherheitsteam des Unternehmens einen Anstieg unautorisierter Zugriffe. Die Angreifer nutzten „Credential Stuffing“-Techniken, um auf Steuerformulare von zehntausenden Kunden zuzugreifen.
Die Ursache der Sicherheitslücke lag in einer Änderung der Datenflüsse, die PayPal vorgenommen hatte, um Steuerformulare mehr Nutzern zugänglich zu machen. Diese Änderungen führten jedoch zu Schwachstellen, die von den Cyberkriminellen ausgenutzt wurden.
Schwere Versäumnisse bei Sicherheitsmaßnahmen
Die DFS kritisierte PayPal auch dafür, dass grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und CAPTCHA nicht verpflichtend waren. Diese hätten unbefugte Zugriffe deutlich erschweren können. Die Versäumnisse verstoßen gegen die Cybersicherheitsvorschriften von New York, die seit 2017 zum Schutz sensibler Finanzdaten in Kraft sind.
Nach dem Vorfall hat PayPal umfangreiche Sicherheitsmaßnahmen eingeführt. Dazu gehören verpflichtende MFA für alle US-Kundenkonten, Passwortänderungen für betroffene Nutzer und die Integration von CAPTCHA, um unbefugte Zugriffe zu verhindern.
PayPal versichert Engagement für Sicherheit
PayPal zeigte sich kooperativ während der Untersuchung und versprach, den Schutz der Kundendaten zu priorisieren. „Der Schutz persönlicher Informationen und die Gewährleistung einer sicheren Plattform haben für uns oberste Priorität“, erklärte das Unternehmen. „Wir nehmen unsere regulatorischen Pflichten sehr ernst.“
Der Fall hebt die Wichtigkeit strenger Cybersicherheitsvorschriften hervor. Die Finanzaufsicht von New York betont weiterhin die Notwendigkeit, Unternehmen zur Verantwortung zu ziehen und den Schutz sensibler Daten sicherzustellen.
