PayPal bị phạt 2 triệu USD vì lỗ hổng an ninh mạng

Paypal là phần mềm thanh toán trực tuyến được sử dụng tại nhiều quốc gia trên thế giới. Ảnh: Paypal

Theo bà Adrienne Harris, Giám đốc Dịch vụ Tài chính bang New York, PayPal đã không sử dụng đội ngũ chuyên gia đủ năng lực để quản lý các chức năng an ninh mạng quan trọng và không đủ trình độ để ứng phó với các rủi ro. Lỗ hổng này khiến dữ liệu nhạy cảm của khách hàng, như tên, ngày sinh và số an sinh xã hội, tạo điều kiện cho nhiều tội phạm mạng lợi dụng và khai thác trong quãng thời gian gần 2 tháng.

PayPal khẳng định đã hợp tác chặt chẽ với cuộc điều tra và cam kết: “Bảo vệ thông tin cá nhân của khách hàng và duy trì một nền tảng an toàn luôn là ưu tiên hàng đầu của chúng tôi.”

Theo tài liệu điều tra, PayPal phát hiện vấn đề vào tháng 12/2022, khi một nhà phân tích an ninh mạng tìm thấy thông tin trên mạng nói rằng hệ thống của công ty có lỗ hổng liên quan đến việc lấy cắp số an sinh xã hội. Sau đó, công ty phát hiện các tội phạm mạng đã sử dụng phương pháp tấn công từ thông tin đăng nhập bị rò rỉ để truy cập trái phép vào tài khoản, tiếp cận dữ liệu thuế của hàng chục nghìn khách hàng.

Nguyên nhân của sự cố này xuất phát từ việc PayPal thay đổi luồng dữ liệu nhằm cung cấp biểu mẫu thuế cho nhiều khách hàng. Tuy nhiên, công ty bị chỉ trích vì không triển khai các biện pháp bảo vệ như xác thực đa yếu tố hoặc các câu hỏi kiểm tra để ngăn chặn truy cập trái phép.

Sau sự cố, PayPal đã nâng cấp bảo mật bằng cách áp dụng xác thực đa yếu tố cho tất cả tài khoản tại Mỹ, đặt lại mật khẩu cho các tài khoản bị ảnh hưởng và bổ sung câu hỏi kiểm tra để ngăn chặn các tấn công tự động.

Cơ quan Dịch vụ Tài chính bang New York cho biết, khoản tiền phạt này nhằm xử lý vi phạm của PayPal đối với quy định an ninh mạng được bang áp dụng từ năm 2017.

Hoàng Nam