ទីក្រុងញូយ៉កបានប្រកាសកិច្ចព្រមព្រៀងទូទាត់ប្រាក់ជាមួយ PayPal ក្នុងចំនួន ២លានដុល្លារពីបទខកខានក្នុងការអនុលោមតាមបទបញ្ញតិ្តសន្តិសុខសាយប័ររបស់រដ្ឋ ដែលបណ្តាលឱ្យមានការបំពានទិន្នន័យឆ្នាំ២០២២។សេវាហិរញ្ញវត្ថុរបស់ក្រសួង (DFS) ថ្លែងថា ហេគឃ័របានកេងចំណេញលើចន្លោះសុវត្ថិភាពនៅក្នុងប្រព័ន្ធ PayPal ដើម្បីវាយប្រហារលួចព័ត៌មានសម្ងាត់ ដែលបានផ្តល់សិទ្ធិចូលប្រើព័ត៌មានសម្ងាត់របស់អតិថិជន។ នៅឆ្នាំ២០២៣ PayPal បានបង្ហាញថា ហេគឃ័របានវាយប្រហារលួចព័ត៌មានអតិថិជនក្នុងទំហំធំ នៅចន្លោះថ្ងៃទី៦ និងថ្ងៃទី៨ ខែធ្នូ ឆ្នាំ២០២២ ដែលគណនី ៣៥,០០០ ត្រូវបានបំពាន។
ទិន្នន័យត្រូវបានបង្ហាញរួមមានឈ្មោះពេញ ថ្ងៃខែឆ្នាំកំណើត អាសយដ្ឋានប្រៃសណីយ៍ លេខសន្តិសុខសង្គម និងលេខអត្តសញ្ញាណពន្ធបុគ្គល។ ការប្រកាសរបស់ក្រសួង DFS នៃទីក្រុងញូយ៉កបានបង្ហាញបន្ថែមថា ការត្រួតពិនិត្យ (Security Lapses) របស់ PayPal គាំងនៅក្នុងទម្រង់ពន្ធ 1099-K tax នៅពេលត្រូវបានចែកចាយនៅលើផ្លេតហ្វម។ DFS ពន្យល់ថា ទិន្នន័យអតិថិជនត្រូវបានលាតត្រដាង បន្ទាប់ពី PayPal បានអនុវត្តការផ្លាស់ប្តូរលំហូរទិន្នន័យដែលមានស្រាប់ សម្រាប់បង្កើត IRS Form 1099-Ks ដែលអាចផ្តល់ជូនអតិថិជនផ្សេងទៀត។ ទោះជាយ៉ាងណា ក្រុមការងារបានតេស្តជាមួយការផ្លាស់ប្តូរទាំងនេះដែលមិនបានសិក្សានៅលើប្រព័ន្ធ និងដំណើរការអភិវឌ្ឍកម្មវិធី PayPal ទេ។ ជាលទ្ធផល វាបរាជ័យក្នុងការធ្វើតាមដំណើរការត្រឹមត្រូវ មុនការផ្លាស់ប្តូរកើតឡើង។
បន្ទាប់ពីការអនុវត្តធ្វើឲ្យមានកំហុស ឧក្រិដ្ឋជនសាយប័រដែលបានរក្សាទុកអត្តសញ្ញាណត្រឹមត្រូវគណនី PayPal អាចចូលប្រើគណនីទាំងនោះបាន និងទម្រង់ 1099-K forms ដែលបានបង្ហាញព័ត៌មានសម្ងាត់ជាច្រើន។ ជោគជ័យនៃការវាយប្រហារលួចព័ត៌មានសម្ងាត់ (Credential Stuffing) ដែលពឹងផ្អែកលើភាពខ្វះខាតនៃការការពារការផ្ទៀងផ្ទាត់ច្រើនជាន់ (MFA) ដែលមិនចាំបាច់នៅលើផ្លេតហ្វមនៅពេលនោះ។ ហេតុការណ៍នេះបានភ្ជាប់ជាមួយនិងការគ្រប់គ្រងដំណើរការដែលមានភាពទន់ខ្សោយ បានអនុញ្ញាតឱ្យការព្យាយាមចូលអាចចូលបានដោយស្វ័យប្រវត្តិដោយគ្មាន CAPTCHA ឬបច្ចេកទេសគ្រប់គ្រង Rate Limiting ដែលបរាជ័យមិនអនុលោមតាមគន្លឹះ PayPal។ នៅក្នុងកិច្ចព្រមព្រៀង បញ្ជាក់ពីការបំពានរបស់ 23 NYCRR 500.3, 500.10 និង 500.12 របស់បទបញ្ញត្តិសន្តិសុខសាយប័រទីក្រុងញូយ៉កស្តីពីការខកខានក្នុងការអនុវត្តគោលការណ៍សន្តិសុខសាយប័រត្រឹមត្រូវ ការបណ្តុះបណ្តាលបុគ្គលិក និងការត្រួតពិនិត្យការផ្ទៀងផ្ទាត់។ ទោះជា PayPal បានចាត់វិធានការជួសជុល បន្ទាប់ពីបានរកឃើញការបំពានរួមទាំងការបិទបាំងព័ត៌មានសម្ងាត់នៅលើទម្រង់ IRS ការអនុវត្ត CAPTCHA និងបច្ចេកទេសគ្រប់គ្រង Rate Limiting និងការអនុវត្ត MFA សម្រាប់គណនីអតិថិជនទាំងអស់របស់សហរដ្ឋអាមេរិកក្តី វាបានយឺតពេលទៅហើយ បើយោងតាម DFS។ លក្ខខណ្ឌនៃការទូទាត់បានកំណត់ថា PayPal ត្រូវតែបង់ប្រាក់ពិន័យ ២លានដុល្លារ ក្នុងរយៈពេល ១០ថ្ងៃ ខណៈដែលមិនមានវិធានការបន្ថែមត្រូវបានអនុវត្តទេ លុះត្រាតែ DFA របស់ទីក្រុងញូយ៉ករកឃើញការបំពានថ្មី៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៥ ខែមករា ឆ្នាំ២០២៥
