बिबिसीका अनुसार, न्यूयोर्क राज्यको वित्तीय सेवा विभागले डिजिटल भुक्तानी कम्पनी PayPal लाई साइबर सुरक्षासम्बन्धी कमजोरीका कारण २ मिलियन डलरको नागरिक जरिवाना तोकेको छ। यो जरिवाना २०२२ को अन्त्यतिर कम्पनीको कमजोरीका कारण ग्राहकहरूको सामाजिक सुरक्षा नम्बर (SSN) जस्ता संवेदनशील जानकारी साइबर अपराधीको पहुँचमा पुगेपछि लगाइएको हो।
न्यूयोर्कका वित्तीय सेवा सुपरिन्टेन्डेन्ट एड्रिएन ह्यारिसका अनुसार, PayPal ले साइबर सुरक्षा कार्यहरू व्यवस्थापन गर्न योग्य जनशक्ति प्रयोग नगरेको र जोखिमलाई सम्बोधन गर्न पर्याप्त तालिम प्रदान नगरेको पाइयो। यसको परिणामस्वरूप, कम्पनीका ग्राहकहरूको नाम, जन्म मिति, र सामाजिक सुरक्षा नम्बर करिब सात हप्तासम्म साइबर अपराधीहरूको पहुँचमा रहे।
PayPal ले अनुसन्धानमा पूर्ण सहयोग गरेको जनाएको छ। कम्पनीले एक वक्तव्यमा भनेको छ, “ग्राहकहरूको व्यक्तिगत जानकारीको सुरक्षालाई हामी उच्च प्राथमिकता दिन्छौं र नियामक जिम्मेवारीलाई गम्भीरतापूर्वक लिन्छौं।”
अनुसन्धानको क्रममा खुलासा भएअनुसार, २०२२ डिसेम्बर ६ मा एक सुरक्षा विश्लेषकले “PP EXPLOIT TO GET SSN” भन्ने सन्देश अनलाइनमा देखेपछि यो समस्या पत्ता लागेको थियो। भोलिपल्ट, PayPal को साइबर सुरक्षा टोलीले आफ्नो प्लेटफर्ममा पहुँच गर्ने प्रयासहरूमा उल्लेखनीय वृद्धि देख्यो। यो प्रयास “क्रेडेन्सियल स्टफिङ” विधि प्रयोग गरेर ग्राहकहरूको संघीय कर फारम हेर्नका लागि गरिएको थियो।
ग्राहकहरूको डाटा तब सार्वजनिक भयो जब PayPal ले नयाँ ग्राहकलाई कर फारम उपलब्ध गराउन आफ्ना डाटाको प्रवाहमा परिवर्तन गरेको थियो।
ह्यारिसले PayPal लाई बहु-कारक प्रमाणीकरण (multifactor authentication) र अनधिकृत पहुँच रोक्न CAPTCHA जस्ता प्रणालीहरू प्रयोग नगरेकोमा पनि दोष लगाए।
नियामकको साइबर सुरक्षा नियम, २०१७ मा लागू भएको, उल्लङ्घन गरेबापत यो जरिवाना तोकिएको हो। हाल PayPal ले अमेरिकास्थित सबै ग्राहक खाताहरूमा बहु-कारक प्रमाणीकरण लागू गरेको, प्रभावित खाताहरूमा पासवर्ड रिसेट गराएको, र CAPTCHA प्रणाली लागू गरेको छ।
