Le autorità di New York hanno multato PayPal per 2 milioni di dollari a causa di falle nella sicurezza informatica che hanno esposto i dati personali di decine di migliaia di clienti. La violazione, avvenuta a dicembre 2022, ha compromesso numeri di previdenza sociale, indirizzi e-mail e nomi degli utenti.
La sanzione, emessa dal Dipartimento dei Servizi Finanziari dello Stato di New York (DFS), è il risultato di un'indagine che ha evidenziato gravi carenze nelle pratiche di sicurezza informatica di PayPal. Secondo il DFS, l'azienda non disponeva di personale adeguatamente qualificato per gestire funzioni chiave della sicurezza e non aveva fornito una formazione sufficiente per affrontare i rischi legati agli attacchi informatici.
Mancata osservanza della procedura
L'indagine ha rivelato che la violazione del 2022 è stata facilitata da carenze nella gestione della sicurezza da parte di PayPal, permettendo agli hacker di sfruttare una tecnica chiamata "credential stuffing". Gli aggressori hanno utilizzato credenziali raccolte da altre fonti per accedere ai sistemi, approfittando delle modifiche apportate ai flussi di dati per rendere disponibili i moduli IRS 1099-K a un maggior numero di clienti.
Secondo il Dipartimento dei Servizi Finanziari di New York (DFS), i team incaricati delle modifiche non erano adeguatamente formati sui sistemi e sui processi di sviluppo delle applicazioni di PayPal, non seguendo le procedure corrette. Ciò ha consentito ai criminali di accedere ai dati sensibili dei clienti.
"La normativa sulla sicurezza informatica di New York stabilisce uno standard fondamentale per la protezione dei dati dei consumatori e il rafforzamento delle istituzioni finanziarie", ha dichiarato Adrienne A. Harris, sovrintendente del DFS. Ha sottolineato che un personale adeguatamente qualificato e una formazione efficace sono essenziali per prevenire violazioni e proteggere i dati sensibili.
Oltre ai rischi immediati per i conti dei clienti, i dati esposti aumentano il pericolo di furto d'identità. È quindi consigliabile adottare misure di protezione per tutelare le proprie informazioni personali.
