Ein digitales Zahlungsunternehmen wurde mit einer 2-Millionen-Dollar-Strafe belegt, nachdem eine Untersuchung schwerwiegende Cybersicherheitsmängel aufgedeckt hatte. Infolge dieser Schwachstellen wurden persönliche Daten, darunter Sozialversicherungsnummern, Namen und Geburtsdaten, für Cyberkriminelle über einen Zeitraum von etwa sieben Wochen zugänglich.
Hintergrund des Sicherheitsvorfalls
- Der Vorfall wurde entdeckt, als ein Sicherheitsanalyst im Dezember 2022 eine Online-Nachricht über eine Schwachstelle im System fand.
- Einen Tag später verzeichnete das Unternehmen eine erhöhte Anzahl von Zugriffsanfragen, die auf einen „Credential Stuffing“-Angriff hindeuteten. Dabei nutzen Hacker gestohlene Zugangsdaten, um sich in Konten einzuloggen.
- Die Sicherheitslücke entstand nach internen Änderungen im Datenfluss, die dazu dienten, Steuerformulare für mehr Kunden zugänglich zu machen.
Fehlende Sicherheitsmaßnahmen
Die Behörde kritisierte, dass keine multifaktorielle Authentifizierung (MFA) oder Schutzmechanismen wie CAPTCHA verpflichtend waren. Diese Maßnahmen hätten den unbefugten Zugriff verhindern können.
Ergriffene Maßnahmen und Konsequenzen
Nach der Untersuchung führte das Unternehmen mehrere Sicherheitsverbesserungen ein, darunter:
✔ Pflicht zur Zwei-Faktor-Authentifizierung für alle US-Kundenkonten
✔ Erzwungene Passwort-Resets für betroffene Konten
✔ Einführung von CAPTCHA zur Abwehr automatisierter Angriffe
Die Strafe wurde wegen Verstößen gegen eine seit 2017 geltende Cybersicherheitsverordnung verhängt. Das Unternehmen erklärte, dass der Schutz von Kundendaten höchste Priorität habe und es seine regulatorischen Pflichten ernst nehme.
Kommentar hinterlassen