PayPal é multado em R$ 12 milhões por vazamento dados de milhares de usuários

O PayPal foi multado em US$ 2 milhões (R$ 11,8 milhões, segundo a Wise) pelo vazamento de números de seguro social (análogo ao CPF brasileiro), endereços de e-mail e nomes de usuários em 2022. A penalidade foi emitida pelo Departamento Estadual de Serviços Financeiros de Nova York (DFS), nos Estados Unidos, nesta quinta-feira (23).

A fuga de informações aconteceu entre os dias 6 e 8 de dezembro de 2022, afetando cerca de 35 mil contas da plataforma. O incidente foi consequência de um ataque usando a técnica de credential stuffing, que aproveita credenciais vazadas anteriormente para obter acesso ao sistema e roubar dados sensíveis de forma automatizada.

• Veja também: Paypal lança login com passkeys para usuários do Brasil no Android e iOS

Após investigação, o DFS concluiu que o PayPal falhou na contratação de pessoal qualificado para gerenciar funções de cibersegurança cruciais e “falhou ao prover treinamento adequado para lidar com riscos cibernéticos”. “Essas falhas fizeram com que dados sensíveis de consumidores, incluindo números de seguro social (SSNs), fossem deixados expostos e facilmente acessíveis por cibercriminosos”, pontuou a superintendente responsável, Adrienne A.Harris, em comunicado.

De acordo com a profissional, a equipe de segurança qualificada é a primeira linha de defesa contra potenciais vazamentos de dados, e o treinamento para implementação de políticas e procedimentos também são etapas vitais na proteção de dados sensíveis e mitigação de riscos.

O DFS também aponta que o PayPal falhou “na implementação e na manutenção de políticas de controle de acesso, gerenciamento de identidade e dados de usuários, e errou no uso de controles efetivos para proteção contra acessos desautorizados para informações pessoais e sistemas de informação”. No comunicado, a entidade destaca a adoção opcional da autenticação multifator (MFA) e verificação de acessos automatizados, como o CAPTCHA.

• Confira: Criadora de conteúdo conseguiu recuperar US$ 90 mil que PayPal teria 'confiscado'

Dada a gravidade do vazamento, o PayPal ofereceu até dois anos de serviço de monitoramento de identidade da Equifax para os consumidores afetados. Assim como o Serasa brasileiro, a ferramenta monitora movimentações de crédito. Todos os usuários foram recomendados a trocar a senha na plataforma para evitar futuros acessos não autorizados.