Two hands shaking with money behind a PayPal logo
Agence web » Actualités du digital » PayPal a été condamné à une amende de 2 millions de dollars pour les échecs de sécurité

PayPal a été condamné à une amende de 2 millions de dollars pour les échecs de sécurité

ParTremplin Numérique Publié le

Paypal a été touché par une amende de 2 millions de dollars par le régulateur financier de New York, le ministère des Services financiers (DFS). Cela est dû à des problèmes de cybersécurité qui ont conduit à une violation de données en décembre 2022.

Cette violation a mis les informations personnelles de nombreux clients en danger, y compris leurs numéros de sécurité sociale, leurs adresses e-mail et leurs noms. L'enquête DFS a trouvé des problèmes majeurs avec les méthodes de cybersécurité de PayPal. L'entreprise n'a pas embauché de personnes qualifiées pour des rôles d'importance de cybersécurité et n'a pas donné suffisamment de formation pour aider à réduire les risques de cybersécurité. Ces problèmes ont été directement liés à la violation de la sécurité.

Il est vrai que ce n'est généralement pas la faute de l'entreprise chaque fois qu'elle est piratée. Cependant, si l'entreprise ne s'assure pas qu'elle se garde en sécurité, elle met ses utilisateurs en danger. Une violation de la sécurité a profité d'une faiblesse qui a été introduite lorsque des modifications ont été apportées pour améliorer l'accès des clients au formulaire IRS 1099-KK. Les équipes qui apportent ces modifications n'avaient pas suffisamment de formation sur les systèmes de PayPal et comment développer des applications, ce qui a conduit à des erreurs.

En conséquence, les pirates ont utilisé une méthode appelée Stuffing des informations d'identification, où ils ont essayé de nombreux détails de connexion jusqu'à ce qu'ils en trouvent un qui a fonctionné pour accéder. Une fois qu'ils avaient les informations de connexion volées, ils pouvaient accéder aux formulaires contenant des informations sur les clients privés.

Le DFS a constaté que la sécurité de Paypal n'était pas assez forte, permettant l'attaque de compensation des informations d'identification. L'enquête a également révélé que PayPal n'avait pas de règles écrites pour gérer l'accès, gérer les identités ou protéger les données des clients. De plus, PayPal n'a pas eu de mesures efficaces pour arrêter l'accès non autorisé, comme l'authentification multi-facteurs, le captcha ou les limites du nombre de fois que quelqu'un pourrait essayer de se connecter.

L'amende de 2 millions de dollars n'est pas beaucoup pour une si grande entreprise, mais la pénalité le plus efficace est le public en voyant à quel point Paypal était dangereux. Cela montre à quel point les problèmes de cybersécurité de l'entreprise étaient graves. PayPal a apparemment résolu les problèmes qui ont été trouvés et améliorés ses pratiques de cybersécurité. Ces changements visent à empêcher des problèmes similaires de se reproduire.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.