PayPal網路安全漏洞曝光 遭紐約州重罰200萬美元

火報記者 陳銳/報導

支付公司PayPal因嚴重的安全漏洞，使數萬名用戶的個資暴露於網路犯罪風險之中，引發監管機構的嚴厲審查，近日更遭紐約州金融服務部對其開出200萬美元的罰款。

2022年底，PayPal因網路安全管理不善，導致大量客戶的敏感資訊，包括姓名、出生日期及社會安全號碼，在長達七週的時間內暴露於網路犯罪分子的攻擊之下。直到2022年12月6日，一名安全分析師在網路論壇上發現一則標題為「PP EXPLOIT TO GET SSN」的討論，才揭露這起資安事件。

隔日，PayPal的網路安全團隊察覺異常流量激增，經調查後確認黑客利用「撞庫攻擊」技術，大量嘗試存取客戶的聯邦稅表。進一步檢視發現，該事件源於PayPal內部對於資料存取機制的調整，無意間使得攻擊者能夠更容易獲取用戶資訊。

紐約州金融服務部經過深入調查後，發現PayPal未能配置具備專業能力的資安管理人員，並且缺乏有效的員工培訓，使其在應對潛在風險時反應遲鈍。此外，該公司並未強制客戶使用多重身份驗證，進一步加劇了資料外洩的風險。由於這些違規行為違反了2017年頒布的《網路安全法規》，監管機構決定對PayPal處以200萬美元的民事罰款。

面對監管機構的審查，PayPal全力配合調查，該公司宣布，已針對所有美國客戶帳戶強制啟用多重身份驗證，進一步提升安全層級。同時，受影響的帳戶也被要求進行密碼重設，以確保存取權限的安全性。此外，公司內部的安全管理機制亦進行強化，避免類似事件再次發生。

這篇文章 PayPal網路安全漏洞曝光 遭紐約州重罰200萬美元 最早出現於 火報。