纽约宣布与 PayPal 达成 200 万美元和解，起因是其未能遵守该州的网络安全法规，导致 2022 年数据泄露。纽约金融服务部 ( DFS ) 称，威胁者利用 PayPal 系统中的安全漏洞进行撞库攻击，从而获取到了对敏感客户信息的访问权限。

2023 年，据 PayPal 披露，威胁者在 2022 年 12 月 6 日至 8 日期间进行了大规模凭证填充攻击，导致 35,000 个账户遭到泄露。当时曝光的数据包括姓名，出生日期，邮政地址，社会保险号和个人税收标识号等重要数据信息。

据了解，在 PayPal 实施对现有数据流的更改之后，客户数据被暴露出来，以使 IRS 表格 1099 ks 可供更多客户使用。但是，负责实施这些更改的团队未经 PayPal 的系统和应用程序开发过程进行培训。因此，在更改进行之前，他们未能遵循适当的程序而使不法分子有机可乘。

持有 PayPal 帐户有效凭证的网络犯罪分子能够访问这些帐户及其 1099-K 表格后，造成许多敏感信息被泄露。这些 " 凭据填充 " 攻击的成功取决于缺乏多因素身份验证（MFA）保护，这在当时不是强制性的。

他们与较弱的访问控件相结合，允许在没有验证码或限制费率的情况下进行自动登录尝试，构成了 PayPal 的关键合规性失败。构成纽约网络安全法规 23 条 NYCRR § 500.3、500.10 和 500.12 的违规行为。事件发生后，PayPal 被要求实施适当的网络安全政策，人员培训和身份验证控制。

DFS 表示，尽管 PayPal 在发现漏洞后采取了多项补救措施，包括屏蔽 IRS 表格上的敏感数据、实施验证码和速率限制，以及对所有美国客户账户强制执行 MFA，但为时已晚。和解条款规定 PayPal 必须在 10 天内支付 200 万美元的罚款，与此同时，除非纽约 DFS 发现新的违规行为，否则不会对其采取进一步行动。