Tin tứcAdrienne Harris, Giám đốc dịch vụ tài chính của New York cho biết, cuộc điều tra của văn phòng bà phát hiện PayPal không sử dụng nhân viên có trình độ để quản lý các chức năng an ninh mạng quan trọng hoặc không cung cấp đào tạo đầy đủ để giải quyết các rủi ro an ninh mạng.
Điều này khiến tên, ngày sinh và số An sinh xã hội của khách hàng của công ty thanh toán kỹ thuật số có trụ sở tại San Jose, California dễ dàng bị tội phạm mạng truy cập trong khoảng 7 tuần.
PayPal đã hợp tác với cuộc điều tra và cho biết: "Bảo vệ thông tin cá nhân của người tiêu dùng và duy trì nền tảng an toàn là ưu tiên hàng đầu của chúng tôi và chúng tôi thực hiện nghiêm túc trách nhiệm quản lý của mình".
PayPal phát hiện ra vấn đề sau khi một nhà phân tích bảo mật đọc được một tin nhắn trực tuyến vào ngày 6 tháng 12/2022 có nội dung "PP EXPLOIT TO GET SSN".
Ngày hôm sau, nhóm an ninh mạng của PayPal đã phát hiện ra sự gia tăng đột biến các truy cập vào nền tảng trực tuyến của mình và xác định rằng tội phạm mạng đang sử dụng "phương pháp nhồi nhét thông tin đăng nhập" để xem biểu mẫu thuế liên bang của hàng chục nghìn khách hàng.
Dữ liệu bị lộ sau khi PayPal thực hiện thay đổi đối với luồng dữ liệu hiện có để có thể cung cấp biểu mẫu cho nhiều khách hàng hơn.
Harris cũng chỉ trích PayPal vì không yêu cầu khách hàng sử dụng xác thực đa yếu tố hoặc các biện pháp kiểm soát như CAPTCHA để ngăn chặn truy cập trái phép.
Khoản tiền phạt này được đưa ra vì vi phạm quy định về an ninh mạng của bộ dịch vụ tài chính, được thông qua vào năm 2017.
Lệnh chấp thuận cho biết PayPal hiện yêu cầu xác thực đa yếu tố đối với tất cả tài khoản khách hàng tại Mỹ, buộc phải đặt lại mật khẩu đối với các tài khoản bị ảnh hưởng và đã triển khai CAPTCHA.
Được ra mắt vào năm 1998, PayPal đã nhanh chóng trở thành một trong những phương tiện thanh toán trực tuyến phổ biến nhất trên toàn cầu và được sử dụng rộng rãi trong việc mua sắm online, thanh toán hóa đơn và gửi/nhận tiền từ bạn bè, người thân, doanh nghiệp.
