ニューヨーク州は、ペイパルが同州のサイバーセキュリティ規制を遵守せず、2022年のデータ漏洩につながったとして、200万ドルの和解金を支払うと発表した。
金融サービス局(DFS)の措置によると、脅威行為者はPayPalのシステムのセキュリティギャップを利用し、機密性の高い顧客情報にアクセスするためのクレデンシャル・スタッフィング攻撃を行ったという。
2023年、ペイパルは、脅威行為者が2022年12月6日から12月8日にかけて大規模なクレデンシャル・スタッフィング攻撃を行い、35,000のアカウントが侵害されたことを公表した。
このとき流出したデータには、氏名、生年月日、住所、社会保障番号、納税者番号などが含まれていた。
ニューヨークDFSの発表によると、ペイパルのセキュリティ上の欠陥のひとつは、プラットフォーム上でのフォーム1099-K納税申告書の配布方法の誤りであった。
「ペイパルがIRSフォーム1099-Kをより多くの顧客に提供するために、既存のデータフローに変更を加えた後、顧客データが流出した」とDFSは説明している。
「しかし、これらの変更を実施するチームは、PayPalのシステムやアプリケーション開発プロセスに関するトレーニングを受けていませんでした。その結果、変更を実行する前に適切な手順を踏むことができませんでした。
誤った実装の後、PayPalアカウントの有効なクレデンシャルを保持するサイバー犯罪者は、それらのアカウントとその1099-Kフォームにアクセスすることができ、多くの機密情報が明らかになった。
これらの「クレデンシャル・スタッフィング」攻撃の成功は、当時プラットフォーム上で必須ではなかった多要素認証(MFA)保護の欠如にかかっていた。
これは、CAPTCHAやレート制限なしで自動ログイン試行を可能にする脆弱なアクセス制御と相まって、PayPalの主要なコンプライアンス違反となった。
同意命令は、適切なサイバーセキュリティポリシー、人材トレーニング、および認証制御を実施しなかったとして、ニューヨーク・サイバーセキュリティ規制の23 NYCRR § 500.3、500.10、および500.12の違反を特定している。
ペイパルは情報漏えいの発覚後、IRSフォームの機密データのマスキング、CAPTCHAとレート制限の実施、すべての米国顧客アカウントに対するMFAの義務化など、いくつかの改善措置を講じたが、DFSによると、これは遅すぎた。
和解条項では、ペイパルは10日以内に200万ドルの罰金を支払うことが義務付けられているが、ニューヨークのDFSが新たな違反を発見しない限り、それ以上の措置は取られない。
Comments