Thought Leadership
Der Bezahldienst PayPal wurde von der New Yorker Finanzaufsicht zu einer Strafzahlung von 2 Millionen US-Dollar verurteilt. Grund dafür sind schwerwiegende Versäumnisse bei der IT-Sicherheit, die Ende 2022 zur Kompromittierung sensibler Kundendaten führten.
Wie die Untersuchung der Finanzaufsicht ergab (via Reuters), hatte PayPal weder ausreichend qualifiziertes Personal für zentrale Cybersicherheitsfunktionen eingesetzt, noch angemessene Schulungen durchgeführt. Dies ermöglichte Cyberkriminellen über einen Zeitraum von etwa sieben Wochen den Zugriff auf Namen, Geburtsdaten und Sozialversicherungsnummern von PayPal-Kunden.
Der Vorfall wurde am 6. Dezember 2022 von einem Sicherheitsanalysten entdeckt. Am Folgetag registrierte das Sicherheitsteam einen sprunghaften Anstieg von Zugriffsversuchen auf die Plattform. Dabei nutzten die Angreifer „Credential Stuffing“, um Zugang zu den Steuererklärungsformularen zehntausender Kunden zu erhalten.
Die Sicherheitslücke entstand durch Änderungen an den Datenflüssen, die PayPal vorgenommen hatte, um mehr Kunden Zugriff auf ihre Steuerformulare zu gewähren. Besonders kritisch sieht die Aufsichtsbehörde das Fehlen einer Zwei-Faktor-Authentifizierung und zusätzlicher Sicherheitsmaßnahmen wie CAPTCHA.
