Mensagens anteriores

O PayPal, uma das maiores plataformas de pagamentos na internet, terá pago mais de 2.000.000 dólares para resolver um processo nos tribunais, associado com o ataque e roubo de dados que a entidade sofreu em 2022.

O caso foi revelado em 2023, quando o PayPal confirmou que um grupo de atacantes realizaram um ataque coordenado contra a plataforma de pagamentos, entre 6 e 8 de Dezembro de 2022. Deste ataque, 35.000 contas dos utilizadores foram comprometidas, com os respetivos fundos.

Na altura, o ataque expôs dados pessoais dos utilizadores, como nomes, moradas, emails, números de telefone e outras informações de identificação.

Numa investigação realizada pela Department of Financial Services, nos EUA, foi confirmado que o ataque terá sido originado de uma falha de segurança existente nos próprios sistemas da empresa. Em causa encontrava-se uma falha na forma como eram feitas entregas do PayPal de formulários 1099-K, que nos EUA são usados para o IRS.

No entanto, a investigação identificou que as pessoas responsáveis por desenvolverem o sistema para a entrega dos formulários 1099-K não teriam experiência suficiente para tal, nem o conhecimento para garantirem a segurança das entregas, e colocaram o sistema ativo para o público ainda assim.

Com estas falhas, atacantes com acesso a contas PayPal comprometidas teriam também acesso aos dados dos formulários dos clientes, que integram diversa informação sensível dos mesmos, e que terá sido recolhida em massa das mais de 35 mil contas.

A piorar a situação, na altura, a plataforma não aplicava qualquer limite nas tentativas de login realizadas nas contas, bem como falhava em implementar sistemas de captcha para impedir ataques automatizados. Estas falhas, no final, terão ajudado a realizar o ataque.

Para resolver a questão, o PayPal irá agora pagar cerca de 2.000.000 dólares, valor que deve ser liquidado nos próximos dez dias. Com este pagamento, não serão realizadas novas ações ou sanções para a plataforma.