Kundendaten waren wochenlang ungeschützt
Die Finanzaufsichtsbehörde des Bundesstaates New York (DFS) hat PayPal wegen gravierender Cyber-Sicherheitsmängel zu einer Geldstrafe von 2 Millionen Dollar verurteilt. Bei einem Vorfall Ende 2022 wurden sensible Daten wie Sozialversicherungsnummern, Namen und Geburtsdaten von Kunden über mehrere Wochen hinweg ungeschützt gelassen und von Cyberkriminellen ausgenutzt.
Adrienne Harris, die Leiterin der DFS, kritisierte, dass PayPal keine qualifizierten Mitarbeiter für die Cybersicherheit einsetzte und auch keine ausreichenden Schulungen zur Risikominimierung anbot. Diese Versäumnisse ermöglichten es Angreifern, in das System einzudringen und auf sensible Kundendaten zuzugreifen.
Am 6. Dezember 2022 entdeckte ein Sicherheitsanalyst von PayPal eine Online-Nachricht mit dem Titel „PP EXPLOIT TO GET SSN“. Bereits einen Tag später stellte das Cybersicherheitsteam des Unternehmens eine erhöhte Anzahl unautorisierter Zugriffsversuche fest. Hacker verwendeten eine Technik namens „Credential Stuffing“, bei der gestohlene Zugangsdaten genutzt werden, um sich Zugang zu Steuerformularen von zehntausenden Kunden zu verschaffen.
Die Sicherheitslücke wurde durch eine Änderung in den Datenflüssen von PayPal verursacht. Ziel war es, Steuerformulare mehr Nutzern zugänglich zu machen, doch dabei wurden unbeabsichtigt Schwachstellen geschaffen, die von Cyberkriminellen ausgenutzt wurden.
Kritik an fehlenden Schutzmaßnahmen
Die DFS bemängelte, dass PayPal grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und CAPTCHA nicht verpflichtend machte. Diese hätten unbefugte Zugriffe verhindern können. Das Fehlen dieser Maßnahmen stellte einen Verstoß gegen die Cybersicherheitsvorschriften des Bundesstaates New York dar, die seit 2017 gelten.
Inzwischen hat PayPal umfangreiche Maßnahmen ergriffen, um die Sicherheit seiner Plattform zu verbessern. Die MFA ist jetzt für alle US-Kundenkonten verpflichtend, betroffene Nutzer mussten ihre Passwörter ändern, und CAPTCHA wurde eingeführt, um zukünftige Angriffe zu erschweren.
PayPal betont Engagement für Sicherheit
PayPal kooperierte während der Untersuchung mit den Behörden und versprach, aus dem Vorfall zu lernen. „Der Schutz der persönlichen Informationen unserer Kunden und die Sicherung unserer Plattform haben für uns oberste Priorität“, erklärte das Unternehmen in einer Stellungnahme. „Wir nehmen unsere regulatorischen Pflichten sehr ernst.“
Dieser Vorfall zeigt, wie wichtig robuste Cybersicherheitsstandards sind, insbesondere in der Finanzbranche. Die New Yorker Finanzaufsichtsbehörde unterstreicht, dass Unternehmen ihrer Verantwortung nachkommen müssen, um sensible Daten vor wachsenden Cyber-Bedrohungen zu schützen.
