Sommario
New York State Department of Financial Services (DFS) ha annunciato una sanzione di 2 milioni di dollari per PayPal a seguito delle violazioni delle normative sulla cybersicurezza che hanno portato al data breach del dicembre 2022. Questo incidente ha esposto informazioni sensibili, tra cui numeri di previdenza sociale (SSN), indirizzi, date di nascita e altri dati personali, mettendo a rischio circa 35.000 clienti.
Il data breach del 2022: le cause e l’impatto
L’incidente ha avuto origine durante un aggiornamento per conformarsi ai nuovi requisiti dell’IRS relativi ai moduli fiscali 1099-K. Le modifiche, implementate senza una revisione adeguata, hanno lasciato esposti dati personali non mascherati, facilmente accessibili da attori malintenzionati tramite attacchi di credential stuffing.
Il credential stuffing, una tecnica che sfrutta credenziali rubate per accedere a account online, è stato facilitato dalla mancanza di controlli di sicurezza adeguati, come l’autenticazione a due fattori (MFA) obbligatoria e l’implementazione di sistemi CAPTCHA o limitazioni di tentativi di login.
La risposta del DFS e le violazioni normative
Secondo l’indagine del DFS, PayPal ha violato diverse sezioni della normativa 23 NYCRR Part 500, tra cui:
- Mancanza di politiche scritte per la gestione degli accessi e della protezione dei dati.
- Fallimento nell’utilizzo di personale qualificato e nella formazione dei dipendenti per la gestione della sicurezza informatica.
- Mancanza di controlli efficaci per prevenire accessi non autorizzati alle informazioni personali.
Nonostante le misure correttive introdotte da PayPal dopo il data breach, tra cui l’adozione obbligatoria dell’MFA per tutti gli utenti statunitensi e il miglioramento dei sistemi di sicurezza, queste sono state considerate insufficienti per prevenire l’incidente.
Il contesto normativo e la posizione di PayPal
Il regolamento sulla cybersicurezza del DFS, attivo dal 2017, impone agli istituti finanziari standard rigorosi per proteggere i dati dei clienti. Il caso PayPal mette in evidenza l’importanza di politiche solide e processi rigorosi, soprattutto per aziende che gestiscono informazioni sensibili su larga scala.
PayPal ha collaborato con il DFS durante l’indagine e ha accettato il pagamento della sanzione, impegnandosi a evitare ulteriori violazioni attraverso la revisione dei suoi processi interni.