PayPal terbukti langgar keamanan siber, informasi sensitif bocor

cover

Kepala Departemen Layanan Keuangan Negara Bagian New York Adrienne A. Harris mengumumkan bahwa PayPal, Inc. (PayPal) akan membayar denda sebesar US$2 juta kepada Negara Bagian New York atas pelanggaran Peraturan Keamanan Siber DFS. 

Sebuah penyelidikan menetapkan PayPal gagal menggunakan personel yang berkualifikasi untuk mengelola fungsi keamanan siber utama dan gagal memberikan pelatihan yang memadai untuk mengatasi risiko keamanan siber. 

Kegagalan ini menyebabkan informasi pelanggan yang sensitif, termasuk nomor jaminan sosial (SSN) pengguna tidak disunting dan mudah diakses oleh penjahat dunia maya. 

"Peraturan keamanan siber terkemuka di New York menetapkan standar penting untuk melindungi data konsumen dan memperkuat ketahanan lembaga keuangan," jelas Kepala Inspektur Harris dalam keterangan resminya, dikuitp Senin (10/2/2025).

Selain itu, memberikan pelatihan yang tepat serta menerapkan kebijakan dan prosedur keamanan siber secara efektif merupakan langkah penting untuk melindungi data sensitif dan mengurangi risiko.

"Personel keamanan siber yang berkualifikasi adalah garis pertahanan pertama terhadap potensi pelanggaran data, dan memberikan pelatihan yang tepat serta menerapkan kebijakan dan prosedur keamanan siber secara efektif merupakan langkah penting untuk melindungi data sensitif dan mengurangi risiko," tambah Harris. 

PayPal, salah satu perusahaan teknologi finansial terbesar di dunia, menawarkan layanan finansial daring kepada pelanggan di seluruh dunia. Data pelanggan terekspos setelah PayPal menerapkan perubahan pada aliran data yang ada untuk menyediakan Formulir 1099-K IRS bagi lebih banyak pelanggannya. 

Namun, tim yang bertugas menerapkan perubahan ini tidak terlatih dalam sistem PayPal dan proses pengembangan aplikasi. Akibatnya, mereka gagal mengikuti prosedur yang tepat sebelum perubahan tersebut diterapkan. 

Hal ini memungkinkan penjahat dunia maya memanfaatkan kredensial yang disusupi untuk mengakses Formulir 1099-K, yang mencakup data pelanggan yang sensitif, termasuk SSN.  

Investigasi Departemen tersebut juga mengungkap bahwa PayPal gagal menerapkan dan mempertahankan kebijakan tertulis yang membahas kontrol akses, manajemen identitas, dan data pelanggan, serta gagal menggunakan kontrol yang efektif untuk melindungi dari akses tidak sah ke Informasi Nonpublik atau Sistem Informasi. 

Khususnya, perusahaan tersebut tidak mengharuskan pelanggan untuk menggunakan autentikasi multifaktor atau menggunakan kontrol seperti CAPTCHA atau pembatasan kecepatan untuk membantu mencegah akses tidak sah. 

Namun Departemen Layanan Keuangan Negara Bagian New York mengungkapkan PayPal telah memperbaiki masalah ini dan meningkatkan praktik keamanan sibernya.

"PayPal telah memperbaiki masalah ini dan meningkatkan praktik keamanan sibernya. Peraturan Keamanan Siber Departemen telah berlaku sejak Maret 2017, dengan amandemen kedua mulai berlaku pada November 2023," jelasnya.