發表
我的網誌
程式碼錯誤導致用戶個資外洩與未授權交易
支付巨頭PayPal(PYPL)近日證實,旗下商業貸款系統「PayPal Working Capital」因程式碼錯誤發生數據外洩事件,部分客戶資金甚至遭到駭客盜取。根據PayPal(PYPL)於2月10日發布的披露信函,公司在去年12月12日發現該程式碼漏洞,導致7月1日至12月13日期間,部分客戶的個人身分識別資訊(PII)遭到曝光。受影響的資料包括姓名、電子郵件、電話號碼、公司地址、社會安全碼(SSN)及出生日期的組合。
公司緊急修復漏洞並提供賠償與監控服務
針對此次資安事故,PayPal(PYPL)發言人向媒體表示,受影響的客戶數量約為100位,且系統核心並未遭到全面入侵。信函中指出,確實有少數客戶帳戶出現未經授權的交易,公司已全額退款給受害客戶,並透過益博睿(Experian)提供兩年的免費信用監控服務。此外,公司已實施「進階」安全控制措施,並強制重設受影響客戶的密碼,要求其在下次登入時進行更改。
遭受波及的營運週轉金業務為銀行競爭核心
此次發生漏洞的「PayPal Working Capital」部門主要面向小型企業提供信貸服務,是PayPal(PYPL)與傳統銀行競爭的關鍵業務,特別是在銀行據點縮減的地區。數據顯示,超過一半的商業貸款流向了近年銀行分行關閉數量超過10家的地區。PayPal(PYPL)與同業Square(SQ)等金融科技公司,皆主打依據未來金流比例放款的模式,強調比傳統銀行更快的放款速度。
核心業務成長趨緩致使執行長換人與高層動盪
小型企業貸款業務也是PayPal(PYPL)營收多元化策略的重要一環,旨在改善因核心結帳業務成長放緩而受影響的財務表現。根據報導指出,近期業績低迷導致PayPal(PYPL)解雇了執行長Alex Chriss,並任命前惠普與PayPal(PYPL)董事會成員Enrique Lores為新任執行長,預計於3月1日生效。在公司高層面臨重大變動之際,此次資安打擊發生的時機點顯得格外敏感。
金融科技業成為駭客鎖定目標且個資包裹出售風險高
資安研究機構Javelin Strategy & Research總監Tracy Goldberg指出,貸款平台因持有大量敏感數據,近期日益成為駭客攻擊目標。此次事件令人擔憂的是,PayPal(PYPL)外洩的個資與商業客戶敏感資訊相結合,這類經過整理、打包的數據在暗網上極具價值,能讓網路犯罪者更輕易地進行新帳戶詐欺或帳戶接管。近期除PayPal(PYPL)外,區塊鏈貸款機構Figure Technology Solutions與金融科技公司Betterment也皆傳出數據外洩事件。
