Kundendaten durch mangelnden Schutz gefährdet
Die New Yorker Finanzaufsichtsbehörde (DFS) hat PayPal zu einer Strafe von 2 Millionen Dollar verurteilt. Der Grund: Eine schwerwiegende Sicherheitsverletzung Ende 2022, die sensible Daten wie Sozialversicherungsnummern, Namen und Geburtsdaten von Kunden für Cyberkriminelle zugänglich machte.
Laut Adrienne Harris, der Leiterin der Finanzaufsicht, versäumte es PayPal, qualifiziertes Personal für Cybersicherheitsaufgaben einzusetzen und angemessene Schulungen für den Umgang mit Risiken anzubieten. Diese Mängel führten dazu, dass die Daten von Kunden über sieben Wochen hinweg ungeschützt blieben.
Am 6. Dezember 2022 entdeckte ein Sicherheitsanalyst von PayPal eine Online-Nachricht mit dem Titel „PP EXPLOIT TO GET SSN“. Bereits am nächsten Tag registrierte das Cybersicherheitsteam von PayPal eine Zunahme unautorisierter Zugriffsversuche. Die Hacker nutzten „Credential Stuffing“-Techniken, um Steuerformulare von zehntausenden Kunden zu kompromittieren.
Die Schwachstelle entstand durch Änderungen in den Datenflüssen von PayPal, die vorgenommen wurden, um Steuerformulare für eine größere Anzahl von Kunden zugänglich zu machen. Dabei wurden jedoch Sicherheitslücken geschaffen, die von Cyberkriminellen ausgenutzt wurden.
PayPal gerät wegen fehlender Schutzmaßnahmen in die Kritik
Die Finanzaufsichtsbehörde kritisierte PayPal scharf, weil grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und CAPTCHA fehlten. Diese hätten die Angriffe verhindern können. Das Versäumnis stellt einen Verstoß gegen New Yorks Cybersicherheitsvorschriften dar, die seit 2017 gelten und den Schutz sensibler Finanzdaten gewährleisten sollen.
Nach dem Vorfall hat PayPal umfangreiche Maßnahmen ergriffen, um die Sicherheit seiner Plattform zu verbessern. Die Multi-Faktor-Authentifizierung wurde für alle US-Kundenkonten verpflichtend eingeführt, und betroffene Konten mussten ihre Passwörter zurücksetzen. Zusätzlich implementierte das Unternehmen CAPTCHA, um unautorisierte Zugriffe zu erschweren.
PayPal gelobt Besserung
PayPal kooperierte während der Untersuchung mit den Behörden und betonte, dass Datensicherheit oberste Priorität habe. „Der Schutz der persönlichen Informationen unserer Kunden und die Sicherung unserer Plattform sind für uns von höchster Bedeutung“, erklärte das Unternehmen. „Wir nehmen unsere regulatorischen Verpflichtungen sehr ernst.“
Dieser Vorfall unterstreicht die Notwendigkeit strenger Cybersicherheitsstandards in der Finanzbranche. Die New Yorker Finanzaufsichtsbehörde betont weiterhin die Bedeutung eines konsequenten Schutzes sensibler Kundendaten, um künftige Verstöße zu verhindern.
