Bank of America afslører en dataovertrædelse ved SBAs Paycheck Protection Program

Bank of America Reveals Data Breach at SBA's Paycheck Protection Program

COVID-19-pandemien har givet os en række udfordringer, og selvom vi alle er temmelig sikre på, at vi overvinder dem, er der nogle af dem, der præsenterer en hel del uventede vanskeligheder. Dagens historie, for eksempel, vil vise dig, hvordan de løsninger, vi bruger til at bekæmpe krisen, ofte er designet i en fart og undertiden er mangelfulde. Det skal også vise dig, hvor dårlige konsekvenserne af alt dette kan være.

For at hjælpe små virksomheder med at overleve pandemien, oprettede den amerikanske Small Business Administration Paycheck Protection Program. Virksomheder, der deltager i det, kan få et lån, der tillades fuldt ud, hvis det er direkte brugt til at bevare den ansatte, der er ansat i løbet af perioden med lukningen.

Pengene antages at blive lånt ud af banker, der deltager i programmet som Bank of America (BofA), og det er deres ansvar at behandle ansøgernes information og udlevere det til agenturet. SBA byggede hurtigt en helt ny online platform for at lette dette, og den 22. april testede BofA det ved at indsende nogle applikationer. Af grunde, der forbliver uklare, skønt dette skulle være en test, brugte banken rigtige applikationer fulde af reelle data. Sikker nok bemærkede dets sikkerhedsteam på et tidspunkt, at de indsendte oplysninger også var tilgængelige for andre, der var logget ind i systemet.

Et SBA-testsystem udsatte ansøgernes oplysninger

I sidste uge indgav Bank of America en anmeldelse af dataovertrædelse til staten Californiens retsadvokat for at afsløre hændelsen. Oplysningerne er få, men ifølge brevet, da de indsendte 22. april ansøgninger, bemærkede BofAs IT-fagfolk en fejl i SBAs system, som gav andre långivere adgang til dokumenterne.

Dette var en bekymring, fordi arkiveringerne indeholdt en hel del information om de virksomheder, der ansøger om lånet og deres ejere. De potentielt eksponerede data inkluderede:

  • navne
  • E-mails
  • Hjemmeadresser
  • Forretningsadresser
  • Telefonnumre
  • Skatteidentifikationsnumre
  • Socialsikkerhedsnumre

Det lyder skremmende end det er

Så snart BofA bemærkede den potentielle eksponering, underrettede den SBA, og dataene blev slettet fra det sårbare system. Bekendtgørelsen om overtrædelse påpeger, at der ikke er bevis for nogen uautoriseret adgang til dataene, og en talsperson fortalte The Charlotte Business Journal, at antallet af berørte kunder er "lille." Ikke desto mindre, fordi overtrædelsen involverede nogle ekstremt følsomme oplysninger, giver banken potentielt involverede kunder to års værdi af identitetstyveri. Hændelsen skulle ikke have nogen betydning for klienternes applikationer med Paycheck Protection Program, og alt i alt ser det ikke ud som den værste lækage i verden. En lækage er imidlertid en lækage, og vi må lære af den.

BofA var ikke den eneste bank, der testede systemet, men det er den eneste, der afslører en potentiel dataeksponering, som muligvis eller ikke antyder, at andre långivere brugte dummy eller ugyldig information. Uanset hvad, skal datasikkerhedseksperter i banken sandsynligvis overveje de anvendte politikker, når de behandler kunders personlige og forretningsoplysninger. De er dog ikke de eneste, der burde drage konklusioner fra alt dette.

Det er åbenlyst, at SBA ikke havde tid til at teste Paycheck Protection Program-systemet ordentligt, men omkring en måned før Bank of America opdagede denne fejl, gik agenturet gennem en anden, ikke-relateret hændelse, der antyder, at datasikkerhed sandsynligvis skulle skubbes op SBAs prioriterede liste. I dette tilfælde truede en sårbarhed med at udsætte de private og forretningsoplysninger fra 8.000 ansøgere til programmet for økonomisk skade katastrofelån.

Coronavirus-pandemien kan ikke være en undskyldning for dårlig håndtering af folks data. Forhåbentlig vil alle ansvarlige forstå dette, før det er for sent.

May 27, 2020
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.