Sicherheitslücken gefährden sensible Kundendaten
Die New Yorker Finanzaufsichtsbehörde (DFS) hat PayPal zu einer Strafe von 2 Millionen Dollar verurteilt. Grund ist ein Cybersicherheitsvorfall Ende 2022, bei dem sensible Kundendaten, darunter Sozialversicherungsnummern, Namen und Geburtsdaten, für Cyberkriminelle zugänglich wurden.
Adrienne Harris, die Leiterin der Finanzaufsicht, erklärte, dass PayPal keine qualifizierten Cybersicherheitsfachleute einsetzte und keine ausreichenden Schulungen zur Risikovermeidung anbot. Diese Versäumnisse führten dazu, dass die sensiblen Daten von Kunden über sieben Wochen hinweg ungeschützt blieben.
Das Problem wurde am 6. Dezember 2022 entdeckt, als ein Sicherheitsanalyst von PayPal eine Online-Nachricht mit dem Titel „PP EXPLOIT TO GET SSN“ fand. Am nächsten Tag stellte das Cybersicherheitsteam von PayPal eine auffällige Zunahme unautorisierter Zugriffsversuche fest. Cyberkriminelle nutzten „Credential Stuffing“-Methoden, um auf Steuerformulare von zehntausenden Kunden zuzugreifen.
Die Sicherheitslücke entstand durch Änderungen in PayPals Datenflüssen, die vorgenommen wurden, um Steuerformulare für mehr Kunden zugänglich zu machen. Dabei wurden jedoch unbeabsichtigt Schwachstellen geschaffen, die die Angriffe ermöglichten.
Kritik an fehlenden Sicherheitsmaßnahmen
Harris warf PayPal vor, grundlegende Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und CAPTCHA nicht eingeführt zu haben. Diese hätten unbefugte Zugriffe verhindern können. Das Versäumnis verstößt gegen New Yorks Cybersicherheitsvorschriften, die seit 2017 in Kraft sind und den Schutz sensibler Finanzdaten sicherstellen sollen.
Nach dem Vorfall hat PayPal die Sicherheitsmaßnahmen deutlich verbessert. Das Unternehmen hat MFA für alle US-Kundenkonten verpflichtend gemacht und betroffene Konten zu Passwortänderungen gezwungen. Zusätzlich wurde CAPTCHA integriert, um unautorisierte Zugriffe zu erschweren.
PayPal verspricht mehr Sicherheit
PayPal kooperierte während der Untersuchung und betonte seine Verpflichtung zur Datensicherheit. „Der Schutz der persönlichen Informationen unserer Kunden und die Sicherung unserer Plattform haben für uns oberste Priorität“, erklärte das Unternehmen. „Wir nehmen unsere regulatorischen Verpflichtungen sehr ernst.“
Dieser Vorfall zeigt die Bedeutung strenger Cybersicherheitsstandards in der Finanzbranche. Die New Yorker Finanzaufsicht betont die Notwendigkeit, Unternehmen zur Verantwortung zu ziehen und den Schutz sensibler Daten in einer zunehmend digitalen Welt zu gewährleisten.
