Kundendaten durch Sicherheitsmängel gefährdet
PayPal-Datenschutzverletzung 2022: Die New Yorker Finanzaufsichtsbehörde (DFS) hat PayPal zu einer Strafe von 2 Millionen Dollar verurteilt. Grund dafür ist eine Cyber-Sicherheitsverletzung, bei der sensible Kundendaten, darunter Sozialversicherungsnummern, im Jahr 2022 für Cyberkriminelle zugänglich wurden.
Adrienne Harris, die Finanzaufsichtskommissarin des Bundesstaates New York, erklärte, dass PayPal keine qualifizierten Cybersicherheitsmitarbeiter beschäftigte und unzureichende Schulungen zur Risikominimierung anbot. Diese Versäumnisse führten dazu, dass Kundendaten wie Namen, Geburtsdaten und Sozialversicherungsnummern für etwa sieben Wochen ungeschützt waren und so leicht von Hackern ausgenutzt werden konnten.
Das Problem wurde am 6. Dezember 2022 entdeckt, als ein Sicherheitsanalyst von PayPal eine Online-Nachricht mit dem Titel „PP EXPLOIT TO GET SSN“ fand. Einen Tag später stellte das Cybersicherheitsteam von PayPal einen deutlichen Anstieg unautorisierter Zugriffsversuche fest. Hacker nutzten sogenannte „Credential Stuffing“-Techniken, um Zugriff auf Steuerformulare von zehntausenden Kunden zu erhalten.
Die Schwachstelle wurde durch Änderungen in den Datenflüssen von PayPal verursacht. Diese Änderungen sollten den Zugang zu Steuerformularen für mehr Kunden erleichtern, öffneten jedoch unbeabsichtigt Sicherheitslücken.
Kritik an fehlenden Sicherheitsmaßnahmen
Harris kritisierte PayPal für das Fehlen grundlegender Sicherheitsmaßnahmen wie die verpflichtende Verwendung von Multi-Faktor-Authentifizierung (MFA) oder CAPTCHA, die unbefugte Zugriffe hätten verhindern können. Diese Unterlassungen verstießen gegen die Cybersicherheitsvorschriften des Bundesstaates New York, die seit 2017 gelten und den Schutz sensibler Finanzdaten sicherstellen sollen.
Nach dem Vorfall hat PayPal seine Sicherheitsmaßnahmen erheblich verstärkt. Die Multi-Faktor-Authentifizierung ist nun für alle US-Kundenkonten verpflichtend. Zudem hat das Unternehmen Passwortänderungen für betroffene Konten eingeführt und CAPTCHA integriert, um unbefugte Zugriffe zu erschweren.
PayPal verspricht Verbesserungen im Bereich Cybersicherheit
PayPal arbeitete während der Untersuchung eng mit den Behörden zusammen und betonte die Bedeutung von Datensicherheit. In einer Stellungnahme erklärte das Unternehmen: „Der Schutz persönlicher Informationen und die Bereitstellung einer sicheren Plattform haben für uns oberste Priorität. Wir nehmen unsere regulatorischen Verpflichtungen sehr ernst.“
Dieser Fall unterstreicht die Bedeutung strenger Cybersicherheitsvorschriften. Die New Yorker DFS setzt weiterhin strikte Standards durch, um sicherzustellen, dass Unternehmen den Schutz sensibler Kundendaten in den Vordergrund stellen und wachsenden Bedrohungen durch Cyberkriminalität begegnen.
PayPal-Datenschutzverletzung 2022
Weitere Neuigkeiten zu Ausland News finden Sie hier
