PayPal, 2022 Yılındaki Veri İhlali Nedeniyle 2 Milyon Dolar Tazminat Ödeyecek
New York Eyaleti, PayPal’ın 2022 yılında yaşanan bir veri ihlali nedeniyle eyaletin siber güvenlik düzenlemelerine uymadığı gerekçesiyle 2 milyon dolarlık bir anlaşmaya vardığını duyurdu. New York Mali Hizmetler Departmanı (DFS), PayPal’ın sistemlerindeki güvenlik açıklarını kullanan siber saldırganların, kimlik bilgisi doldurma (credential stuffing) saldırılarıyla hassas müşteri bilgilerine eriştiğini açıkladı.
PayPal, 2023 yılında yaptığı bir açıklamada, 6-8 Aralık 2022 tarihleri arasında gerçekleşen büyük ölçekli bir kimlik bilgisi doldurma saldırısında 35.000 hesabın ele geçirildiğini belirtmişti. İhlal sırasında açığa çıkan veriler arasında tam adlar, doğum tarihleri, posta adresleri, sosyal güvenlik numaraları ve vergi kimlik numaraları yer alıyordu.
DFS’in açıklamasına göre, PayPal’ın güvenlik açıklarının temelinde, IRS Form 1099-K vergi formlarının platformda dağıtımı sırasında yapılan bir hata bulunuyor. PayPal, bu formları daha fazla müşteriye sunmak için mevcut veri akışlarında değişiklikler yaptı. Ancak, bu değişiklikleri uygulayan ekipler, PayPal’ın sistemleri ve uygulama geliştirme süreçleri konusunda yeterince eğitimli değildi. Bu nedenle, değişiklikler canlıya alınmadan önce gerekli prosedürler takip edilmedi.
Bu hatalı uygulama sonucunda, geçerli kimlik bilgilerine sahip siber saldırganlar, PayPal hesaplarına ve 1099-K formlarına erişim sağladı. Bu formlar, kullanıcıların hassas bilgilerini içeriyordu. Saldırının başarılı olmasında, PayPal’ın o dönemde çok faktörlü kimlik doğrulama (MFA) korumasını zorunlu kılmaması ve otomatik giriş denemelerini sınırlandıracak CAPTCHA veya hız sınırlandırma gibi önlemlerin eksikliği büyük rol oynadı.
New York DFS, PayPal’ın 23 NYCRR § 500.3, 500.10 ve 500.12 maddelerini ihlal ettiğini belirterek, şirketin uygun siber güvenlik politikaları, personel eğitimi ve kimlik doğrulama kontrollerini uygulamadığını vurguladı.
PayPal, ihlalin keşfedilmesinin ardından IRS formlarındaki hassas verileri maskeleme, CAPTCHA ve hız sınırlandırma uygulamalarını devreye alma ve ABD’deki tüm müşteri hesapları için MFA’yı zorunlu hale getirme gibi düzeltici adımlar attı. Ancak DFS’e göre bu adımlar atılana kadar geçen süre, ihlalin etkilerini önlemek için yeterli olmadı.
Anlaşmanın şartlarına göre PayPal, 10 gün içinde 2 milyon dolar para cezası ödeyecek. New York DFS, yeni ihlaller tespit etmediği sürece başka bir işlem yapılmayacak.
