Kundendaten durch Sicherheitslücken gefährdet
PayPal-Datenleck durch Sicherheitslücken: Die New Yorker Finanzaufsichtsbehörde (DFS) hat PayPal wegen einer schwerwiegenden Sicherheitsverletzung zu einer Strafe von 2 Millionen Dollar verurteilt. Bei dem Vorfall Ende 2022 wurden sensible Daten wie Sozialversicherungsnummern, Namen und Geburtsdaten von Kunden für Cyberkriminelle zugänglich gemacht.
Adrienne Harris, die Leiterin der Finanzaufsichtsbehörde, erklärte, dass PayPal grundlegende Sicherheitsmaßnahmen vernachlässigt habe. Das Unternehmen setzte weder qualifiziertes Personal ein, noch bot es ausreichende Schulungen an, um Cyberrisiken effektiv zu bewältigen. Dies führte dazu, dass die Kundendaten etwa sieben Wochen lang ungeschützt blieben.
Die Sicherheitslücke wurde am 6. Dezember 2022 entdeckt, als ein PayPal-Sicherheitsanalyst auf eine Online-Nachricht mit dem Titel „PP EXPLOIT TO GET SSN“ stieß. Einen Tag später identifizierte das Cybersicherheitsteam von PayPal eine erhöhte Anzahl unautorisierter Zugriffsversuche. Die Angreifer nutzten eine Methode namens „Credential Stuffing“, um auf Steuerformulare von zehntausenden Kunden zuzugreifen.
Die Ursache des Problems lag in einer Änderung der Datenflüsse bei PayPal. Diese Anpassung sollte den Zugang zu Steuerformularen für mehr Kunden erleichtern, schuf jedoch ungewollt Sicherheitslücken.
Fehlende Schutzmaßnahmen verstärkten die Risiken
Harris kritisierte PayPal für das Fehlen grundlegender Schutzmaßnahmen wie die verpflichtende Multi-Faktor-Authentifizierung (MFA) und CAPTCHA. Diese Maßnahmen hätten den Angriff möglicherweise verhindert. Der Vorfall stellte einen klaren Verstoß gegen die Cybersicherheitsvorschriften von New York dar, die seit 2017 in Kraft sind und den Schutz sensibler Finanzdaten sicherstellen sollen.
Nach dem Vorfall hat PayPal zahlreiche Sicherheitsverbesserungen umgesetzt. Multi-Faktor-Authentifizierung ist nun für alle US-Kundenkonten verpflichtend, und betroffene Konten wurden zu Passwortänderungen gezwungen. Darüber hinaus hat das Unternehmen CAPTCHA eingeführt, um unautorisierte Zugriffe zu erschweren.
PayPal betont Engagement für Datensicherheit – PayPal-Datenleck durch Sicherheitslücken
PayPal kooperierte während der Untersuchung mit den Behörden und versprach, die Sicherheit seiner Plattform weiter zu stärken. „Der Schutz persönlicher Daten und die Sicherung unserer Plattform haben für uns höchste Priorität“, erklärte das Unternehmen. „Wir nehmen unsere regulatorischen Verpflichtungen äußerst ernst.“
Der Vorfall unterstreicht die Bedeutung robuster Cybersicherheitsstandards in der Finanzbranche. Die New Yorker Finanzaufsichtsbehörde setzt weiterhin strenge Vorschriften durch, um den Schutz sensibler Kundendaten zu gewährleisten und wachsenden Cyberbedrohungen entgegenzuwirken.
Weitere Neuigkeiten zu Wirtschaft News finden Sie hier
