NYDFS menghukum PayPal $2 juta atas pelanggaran data tahun 2022

Pada hari Selasa, Departemen Layanan Keuangan Negara Bagian New York mengumumkan penyelesaian $2 juta dengan PayPal atas pelanggaran peraturan keamanan siber negara bagian tersebut terkait dengan serangan siber pada bulan Desember 2022 yang mana informasi pribadi 34.942 pelanggan dilanggar.

PayPal telah gagal melatih tim secara memadai untuk menerapkan perubahan agar Formulir IRS 1099-K tersedia bagi lebih banyak pelanggannya, menurut penyelesaian tersebut. Akibat kurangnya pelatihan ini, tim gagal mengikuti prosedur yang benar sebelum perubahan diterapkan, sehingga memungkinkan peretas mengakses formulir yang berisi data identitas pribadi sensitif.

Penyelesaian ini penting karena merupakan hasil pengawasan ketat NYDFS terhadap proses yang diikuti oleh tim teknik PayPal yang bertanggung jawab atas perubahan 1099-K.

Penyelesaian tersebut merinci bagaimana tim teknik PayPal salah mengklasifikasikan perubahan tersebut sebagai migrasi platform dan bukan sebagai kemampuan atau fitur baru untuk produk yang sudah ada, yang berarti bahwa tidak ada proses identifikasi risiko dan pengendalian yang dilakukan sebelum perubahan diterapkan.

Artinya, tidak ada penilaian risiko, uji penetrasi, atau pemindaian kerentanan terhadap perubahan tersebut, dan tidak ada persetujuan formal yang diberikan untuk meluncurkan perubahan 1099-K. Formulir 1099-K yang disediakan PayPal untuk pelanggan berisi nomor Jaminan Sosial, seperti yang dibutuhkan banyak formulir pajak lainnya, namun serangan penjejalan kredensial memungkinkan pelaku ancaman mengakses formulir ini secara massal.

Serangan penjejalan kredensial melibatkan pengambilan nama pengguna dan kata sandi dari sumber lain – kemungkinan pelanggaran data yang menyebabkan kredensial ini bocor – dan mencoba menggunakannya untuk masuk ke layanan lain. Serangan ini terjadi ketika orang menggunakan kembali kata sandi mereka untuk berbagai login berbeda daripada menggunakan pengelola kata sandi atau metode lain untuk melacak kata sandi unik untuk setiap layanan.

Seorang analis keamanan PayPal menemukan pelanggaran data hanya setelah menemukan pesan online bahwa pengguna dapat mengakses nomor Jaminan Sosial pelanggan PayPal dengan mengikuti tautan di situs web PayPal.

Keesokan harinya, serangan penjejalan kredensial terjadi, dan PayPal menghentikan serangan tersebut dengan pembatasan tarif — membatasi seberapa sering seseorang dapat mengulangi tindakan seperti masuk ke akun — dan tantangan CAPTCHA (“Apakah Anda robot?” yang melibatkan pemilihan gambar yang memuat sepeda motor, dan sejenisnya).

Perusahaan juga menutupi informasi pribadi yang terekspos dan mengatur ulang kata sandi akun yang terpengaruh. Informasi pribadi yang terungkap ini termasuk nama, tanggal lahir, alamat, nomor Jaminan Sosial, nomor pajak, dan nomor telepon.

Setelah penyelesaian diumumkan pada hari Kamis, juru bicara PayPal mengatakan bahwa melindungi informasi pribadi konsumen dan menjaga platform yang aman “adalah prioritas utama bagi kami dan kami mengambil tanggung jawab peraturan dengan serius.”

“Setelah melaporkan sendiri dan mengungkapkan masalah ini, kami bekerja sama dengan Departemen Jasa Keuangan New York untuk menyelesaikan masalah ini, yang terjadi pada Desember 2022,” kata juru bicara tersebut.

Investigasi yang dilakukan NYDFS menemukan bahwa PayPal gagal menggunakan personel yang berkualifikasi untuk mengelola fungsi-fungsi utama keamanan siber dan gagal memberikan pelatihan yang memadai untuk mengatasi risiko keamanan siber.

PayPal gagal menerapkan dan memelihara kebijakan tertulis yang menangani kontrol akses, manajemen identitas, dan perlindungan data pelanggan, menurut penyelesaian tersebut. Pemerintah juga gagal menggunakan pengendalian yang efektif untuk melindungi terhadap akses tidak sah terhadap informasi non-publik (misalnya data identitas pribadi).

Sebelum kejadian tersebut, PayPal tidak mengharuskan pelanggan untuk menggunakan autentikasi multifaktor atau menggunakan kontrol seperti CAPTCHA atau pembatasan tarif untuk mencegah akses tidak sah. Perusahaan tersebut telah menambahkan pembatasan tarif, mewajibkan autentikasi multifaktor, atau MFA, untuk semua akun pelanggan AS, memperbarui kebijakannya, memberikan pelatihan, dan meningkatkan pemantauan kode, menurut penyelesaian tersebut.

Selain menyoroti pengawasan yang dilakukan NYDFS untuk menegakkan peraturan keamanan sibernya, insiden ini juga menunjukkan kerentanan akun yang tidak dilindungi MFA terhadap pengisian kredensial. Perusahaan seringkali tidak dapat mencegah pengguna untuk menggunakan kembali kata sandi, dan kegagalan menerapkan pembatasan tarif dan MFA sering kali membuat akun ini rentan terhadap serangan pengisian kredensial.

Otentikasi multifaktor adalah pertahanan yang kuat terhadap serangan ini, dan bagi banyak lembaga keuangan dan fintech, akun konsumen harus menyertakannya secara default. Secara khusus, NYDFS mengharuskan perusahaan jasa keuangan di negara bagian tersebut untuk mengaktifkan otentikasi multifaktor untuk setiap akun yang dapat mengakses sistem internal bank dan memerlukan penilaian risiko untuk menentukan apakah akun konsumen juga memerlukannya.