L’État de New York a annoncé un règlement de 2 000 000 $avec PayPal pour les frais qu’il n’a pas respectés les réglementations de l’État en matière de cybersécurité, entraînant une violation de données en 2022.
L’action du département des Services financiers (DFS) indique que les acteurs de la menace ont profité des failles de sécurité des systèmes de PayPal pour mener des attaques de bourrage d’informations d’identification qui donnaient accès à des informations sensibles sur les clients.
En 2023, PayPal a révélé que des acteurs de la menace avaient mené une attaque de bourrage d’informations d’identification à grande échelle entre le 6 et le 8 décembre 2022, au cours de laquelle 35 000 comptes avaient été piratés.
Les données exposées à l’époque comprenaient les noms complets, les dates de naissance, les adresses postales, les numéros de sécurité sociale et les numéros d’identification fiscale individuels.
L’annonce du DFS à New York met davantage en lumière la violation, expliquant que l’une des failles de sécurité de PayPal était une erreur dans la façon dont les formulaires fiscaux 1099-K étaient distribués sur la plate-forme.
« Les données des clients ont été exposées après que PayPal a mis en œuvre des modifications des flux de données existants pour rendre le formulaire IRS 1099-Ks disponible pour un plus grand nombre de ses clients », explique DFS.
« Cependant, les équipes chargées de mettre en œuvre ces changements n’ont pas été formées sur les systèmes et les processus de développement d’applications de PayPal. En conséquence, ils n’ont pas suivi les procédures appropriées avant la mise en service des modifications. »
Suite à la mise en œuvre défectueuse, les cybercriminels détenant des informations d’identification valides pour les comptes PayPal ont pu accéder à ces comptes et à leurs formulaires 1099-K, qui ont révélé de nombreuses informations sensibles.
Le succès de ces attaques de « bourrage d’informations d’identification » dépendait de l’absence de protection par authentification multifacteur (MFA), qui n’était pas obligatoire sur la plate-forme à l’époque.
Ceci, combiné à des contrôles d’accès faibles permettant des tentatives de connexion automatisées sans CAPTCHA ni limitation de débit, constituait des échecs de conformité clés pour PayPal.
L’ordonnance sur consentement spécifie les violations de 23 NYCRR § 500.3, 500.10 et 500.12 du Règlement sur la cybersécurité de New York pour défaut de mise en œuvre de politiques de cybersécurité appropriées, de formation du personnel et de contrôles d’authentification.
Bien que PayPal ait pris plusieurs mesures correctives après la découverte de la violation, notamment en masquant les données sensibles sur les formulaires de l’IRS, en mettant en œuvre un CAPTCHA et une limitation des taux, et en rendant l’AMF obligatoire pour tous les comptes clients américains, cela est arrivé trop tard, selon DFS.
Les conditions de règlement stipulent que PayPal doit payer une amende de 2 millions de dollars dans les 10 jours, sans qu’aucune autre mesure ne soit prise à moins que le DFS de New York ne découvre de nouvelles violations.