Компания PayPal получила штраф в размере $2 миллиона от Департамента финансовых услуг штата Нью-Йорк (DFS) из-за серьёзных упущений в защите данных клиентов. Причиной стало расследование утечки персональной информации 34,5 тысяч пользователей в декабре 2022 года. Рассказываем, как это случилось и чем грозит обычным людям.
Суть инцидента: хакеры использовали «подбор учетных данных»
По данным регуляторов, злоумышленники применили метод credential stuffing — массовый автоматизированный подбор логинов и паролей, украденных из других сервисов. Это позволило им получить доступ к налоговым формам 1099-K, которые PayPal начал рассылать расширенному кругу клиентов в конце 2022 года.
Что попало в руки хакеров:
- Полные имена пользователей;
- Адреса электронной почты;
- Номера социального страхования (SSN).
Почему это произошло: ошибки PayPal
Расследование DFS выявило три ключевые проблемы в работе компании:
- Недостаток квалификации сотрудников
Команда, отвечавшая за внедрение новой функции (рассылки форм 1099-K), не прошла должного обучения. Сотрудники не знали внутренних процедур безопасности. - Слабый контроль за изменениями
При обновлении системы не были соблюдены стандарты проверки кода и оценки рисков. Это создало «лазейки» для атак. - Отсутствие двухфакторной аутентификации
Для доступа к данным не требовалось дополнительных подтверждений, что упростило задачу злоумышленникам.
«Квалифицированные специалисты по кибербезопасности — первая линия обороны. Без правильного обучения и внедрения политик компании подвергают клиентов риску», — заявила глава DFS Адриенн Харрис.
Последствия для пользователей
Утечка SSN и других данных делает пострадавших уязвимыми перед мошенничеством и кражей личностей. Если вы использовали PayPal в 2022 году:
- Проверьте историю входов в аккаунт;
- Смените пароль (особенно если он повторяется на других сайтах);
- Включите двухфакторную аутентификацию;
- Рассмотрите подписку на сервисы мониторинга кредитной истории.
Совет от экспертов: Для надёжной защиты используйте менеджеры паролей (например, Bitwarden или 1Password) и никогда не повторяйте комбинации логин-пароль на разных платформах
Что дальше?
PayPal уже согласился с требованиями DFS и обязался:
- Нанять независимого аудитора для проверки безопасности;
- Пересмотреть программу обучения сотрудников;
- Внедрить многофакторную аутентификацию для доступа к критическим системам.
Это не первый штраф для компании — в 2021 году PayPal выплатил €250 тыс. за нарушения GDPR в Европе. Инцидент показывает, что даже крупные игроки не застрахованы от ошибок, а защита данных требует постоянного внимания.
