Uma ação coletiva acusa a gigante de pagamentos online PayPal de não proteger adequadamente as informações pessoais de seus usuários, deixando-os vulneráveis a roubo de identidade como ocorreu no final do ano passado. Quase 35 mil pessoas foram afetadas pelo ataque cibernético, que usou nomes de usuário e senhas previamente comprometidos para obter acesso aos sistemas do PayPal.
O comunicado do PayPal aos usuários cujas informações pessoais foram comprometidas indicava que a empresa soube do ataque pouco antes do fim de 2022 e que o ataque acabou sendo determinado entre 6 e 8 de dezembro. O aviso foi enviado em 19 de janeiro deste ano e dizia que “não havia evidências” de que os logins comprometidos foram retirados dos sistemas da empresa.
Os autores da ação civil, um dos quais é do Texas e o outro de Nebraska, acusam o PayPal de não cumprir as diretrizes da Comissão Federal de Comércio (FTC, na sigla em inglês) para proteção de dados, dizendo essencialmente que a empresa foi negligente na proteção de dados do consumidor. O processo foi aberto na semana passada no Tribunal do Distrito Norte da Califórnia.
A denúncia levanta nove acusações contra o PayPal, imputando à empresa enriquecimento indevido, violação de várias leis estaduais de proteção ao consumidor, quebra de contrato, negligência e negligência per si — este último item significa, em essência, que a empresa violou um dever de cuidado imposto a ela por uma lei específica, em vez de um dever legal mais geral de cuidado exigido para uma ação de negligência padrão.
Veja isso
PayPal e Twitter explorados em golpes de ajuda à Turquia e à Síria
Ciberataque coletou credenciais de 35 mil usuários do PayPal
Essas alegações são baseadas em uma ampla variedade de fatos e a denúncia acua o PayPal de não aderir a uma série de estruturas de segurança cibernética do NIST, agência governamental não regulatória da administração de tecnologia dos EUA.
Os impetrantes da ação disseram que sofreram uma série de danos como resultado da suposta negligência do PayPal, incluindo serem “forçados a gastar tempo lidando com os efeitos da violação de dados, exposição a um risco acentuadamente maior de fraude e roubo de identidade, incorrendo em custos substanciais para monitoramento de crédito e serviços associados. Eles também pedem ao juiz que certificasse a ação como uma ação coletiva, dado o grande número de supostas vítimas e a inviabilidade de nomeá-las todas como partes no processo.
O processo reinvindica uma quantia não especificada por danos e violação às várias leis de proteção ao consumidor.